Qrishing

El terme qrishing (derivat de la combinació dels conceptes phishing i codi QR) o phishing a través de codis QR és una tipologia de phishing la qual s'ha popularitzat amb l'augment de la utilització dels codis QR a causa de la pandèmia.

Aquesta tècnica consisteix en la manipulació de codis QR amb la finalitat d'enganyar a les víctimes mitjançant la suplantació de pàgines webs o aplicacions a les quals s'accedeix en escanejar el codi QR el qual té assignat un link fraudulent utilitzat amb la finalitat d'obtenir informació privada de les víctimes.

D'aquesta manera, en escanejar un codi QR fraudulent, es redirigeix a l'usuari a una pàgina web la qual suplanta a la web autèntica però que a simple vista no és detectable ja que té la mateixa aparença que l'original. Per tant, si l'usuari no verifica la URL de la pàgina web i creu que està en el lloc web correcte, pot proporcionar dades personals les quals és possible que siguin utilitzades de manera maliciosa per el ciberdelincuent.^[1]^[2]^[3]

Tipologies de qrishing

Podem diferenciar dues tipologies de qrishing:^[4]

A través de l'escaneig d'un codi QR fals el qual imita a l'original.

La víctima escaneja el codi QR el qual conté un link que suplanta la identitat de l'original, al qual l'usuari hauria de ser dirigit. Una vegada l'usuari està a la web falsa, sense tenir-ne coneixement, pot donar informació privada (dades personals, dades bancàries, contrasenyes, etc.) o descarregar un software maliciós el qual infecta el dispositiu.

Mitjançant la descàrrega d'una aplicació la funció de la qual és l'escaneig de codis QR però la pròpia aplicació conté un malware.

Com evitar-ho?

A continuació s'exposen algunes tècniques per a evitar ser víctimes de qrishing:^[5]^[4]

Desactivar en el dispositiu l'opció d'obrir automàticament els enllaços dels codis QR.
En el suposat cas que la pàgina web a la qual li ha dirigit el codi QR sol·liciti informació privada, pensar si és realment necessària la sol·licitud d'aquesta i, sobretot, revisar si la URL de la pàgina web és la correcta (prestar especial atenció si estan escurçades ja que no és usual).
No escanejar codis QR de dubtosa procedència o desconeguts.
En escanejar un codi QR en físic revisar que no estigui manipulat (en diverses ocasions s'han detectat adhesius de codis QR falsos damunt dels veritables).
Si ha creat un codi QR revisar sovint i comprovar que no ha estat modificat o suplantat. També pot ser d'utilitat un generador de codis QR que ofereixi garanties de seguretat.

Referències

↑ «Te contamos sobre el Qrishing, el método de estafa a través de los códigos QR» (en espanyol de Mèxic). TekCrispy, 19-09-2021. [Consulta: 13 maig 2022].
↑ H50, Policía. «Qrishing: el phishing a través de códigos QR» (en espanyol europeu). h50, 02-05-2022. [Consulta: 13 maig 2022].
↑ Bécares, Bárbara. «Phishing a través de tu QR o Qrishing: así funciona esta estafa de la que alerta la Policía en España» (en castellà). Genbeta, 14-09-2021. [Consulta: 13 maig 2022].
↑ ^4,0 ^4,1 «Qrishing. ¿Sabes en qué consiste esta nueva estafa? - Caja Rural de Cheste». www.grupocooperativocajamar.es. [Consulta: 13 maig 2022].
↑ BBVA. «‘QRishing’, el tipo de ‘phishing’ oculto en códigos QR» (en castellà). BBVA NOTICIAS, 15-02-2022. [Consulta: 13 maig 2022].

[1] «Te contamos sobre el Qrishing, el método de estafa a través de los códigos QR» (en espanyol de Mèxic). TekCrispy, 19-09-2021. [Consulta: 13 maig 2022].

[2] H50, Policía. «Qrishing: el phishing a través de códigos QR» (en espanyol europeu). h50, 02-05-2022. [Consulta: 13 maig 2022].

[3] Bécares, Bárbara. «Phishing a través de tu QR o Qrishing: así funciona esta estafa de la que alerta la Policía en España» (en castellà). Genbeta, 14-09-2021. [Consulta: 13 maig 2022].

[Ref-4] 4,0 ^4,1 «Qrishing. ¿Sabes en qué consiste esta nueva estafa? - Caja Rural de Cheste». www.grupocooperativocajamar.es. [Consulta: 13 maig 2022].

[5] BBVA. «‘QRishing’, el tipo de ‘phishing’ oculto en códigos QR» (en castellà). BBVA NOTICIAS, 15-02-2022. [Consulta: 13 maig 2022].

[1]

[2]

[3]

[4]

[5]