Quishing, amenaza para los conductores de vehículos eléctricos
Escrito por verdes |
Los estafadores están utilizando el quishing, o QR maliciosos, para robar datos o dinero en estaciones de carga.
Quienes conducen vehículos eléctricos deben tener cuidado con la suplantación de identidad mediante códigos QR, conocida como quishing, colocados en las estaciones de recarga. Así lo advirtió Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Añadió que esta técnica es utilizada para espiar o robar datos de pago. También indicó que no es muy diferente a los trucos utilizados con códigos QR colocados en los parquímetros.
En un comunicado, ESET Latinoamérica indicó que quishing es el resultado de la mezcla de dos palabras:
- Phishing
- Código QR
¿Cómo funciona el quishing?
Los estafadores colocan códigos QR falsos sobre los auténticos. Cuando éstos son escaneados, llevan a las víctimas a un sitio de phishing. En ese momento recogen sus credenciales/información o descargan malware.
“Es una táctica especialmente eficaz porque no despierta el mismo nivel de sospecha entre los usuarios que, por ejemplo, las URL de phishing. Además, los dispositivos móviles suelen estar menos protegidos que los portátiles y los equipos de escritorio, por lo que hay más posibilidades de éxito”, explicó Gutiérrez Amaya.
De acuerdo con ESET Latinoamérica, los delincuentes encontraron una forma de adaptar la estafa al mercado de vehículos eléctricos. En Reino Unido, Francia y Alemania están pegando códigos QR maliciosos encima de los legítimos. Esto ocurre en las estaciones de recarga públicas.
En teoría, el código debe llevar a los usuarios a un sitio web donde pueden pagar la electricidad al operador. Sin embargo, si escanean el código falso, serán conducidos a un sitio de suplantación de identidad. Éste les pedirá que introduzcan sus datos de pago, que serán recopilados por los ciberdelincuentes.
Se afirma que el sitio correcto se cargará en el segundo intento, para garantizar que las víctimas puedan pagar por el cargo.
En algunos casos, los ciberdelincuentes podrían estar utilizando tecnología de interferencia de señal. De este modo, pueden impedir que las víctimas utilicen sus aplicaciones de recarga y obligarlas a escanear el código QR malicioso.
Con más de 600,000 puntos de recarga de vehículos eléctricos en Europa, los estafadores tienen muchas oportunidades.
También en los parquímetros
De acuerdo con el comunicado, otros estafadores se dirigen a los conductores mediante códigos QR maliciosos pegados en los parquímetros. Así, una persona puede perder los datos de su tarjeta y recibir una multa del ayuntamiento.
Las estafas actuales parecen limitarse a la recopilación de datos de pago a través de páginas de phishing. Pero pueden modificar la amenaza para instalar malware que secuestre el dispositivo de la víctima y/o robe otros datos de acceso e información confidencial del mismo.
¿Cómo protegerse del quishing?
ESET comparten algunas sencillas medidas para mitigar el riesgo de quishing mientras se está fuera de casa:
- Fijarse bien en el código QR y posibles señales de alarma. ¿Parece como si estuviera pegado encima de otra cosa, o forma parte del signo original? ¿Es de diferente color o tipo de letra que el resto de la señal, o parece fuera de lugar de alguna otra manera?
- Nunca escanear un código QR a menos que aparezca en el propio terminal del parquímetro.
- Considerar la posibilidad de pagar únicamente a través de una llamada telefónica. O hacerlo en la aplicación oficial de recarga del operador correspondiente.
- Desactivar la opción de realizar acciones automáticas al escanear un código QR, como visitar un sitio web o descargar un archivo. Después de escanearlo, observar la URL para comprobar que se trata de un dominio legítimo.
- Analizar el sitio web al que dirige el código QR ¿Contiene errores gramaticales u ortográficos, o hay algo que parezca extraño? Si es así, puede tratarse de un sitio de phishing.
- Si algo no parece correcto, llamar directamente al operador del cobro.
- Muchos parquímetros ofrecen múltiples formas de pago, como tarjeta de crédito, pagos NFC o monedas. Considerar la posibilidad de utilizar una de estas alternativas para evitar el riesgo.
- Si se ha sufrido una estafa, congelar la tarjeta de pago y denunciar el posible fraude al banco/proveedor de tarjetas. Comprobar el extracto bancario en busca de transacciones sospechosas.
- Utilizar la autenticación de dos factores (2FA) en todas las cuentas que ofrezcan una capa adicional de seguridad. Esto ayuda a proteger la cuenta incluso si un estafador consigue redirigirle a un sitio web fraudulento y robar las credenciales.
- Asegurarse de que el dispositivo móvil tiene instalado un software de seguridad de un proveedor de confianza.
Síguenos en la cuenta de Twitter de Las Empresas Verdes