phishing
Hemos escrito una y otra vez sobre cómo se utilizan los códigos QR en los esquemas de phishing. Nuestra puerta de enlace segura para correos electrónicos incluso incorpora tecnología para leer estos códigos (no solo de correos electrónicos, sino también de archivos adjuntos) y verificar los enlaces integrados. Sin embargo, los atacantes siguen intentando enviar códigos QR a sus víctimas. Últimamente, los hemos visto usar cada vez más el arte ASCII (imágenes hechas con caracteres) con esta finalidad. Es bastante irónico teniendo en cuenta que los autores de phishing alguna vez intentaron eludir el análisis de enlaces ocultándolos en las imágenes, y ahora han vuelto a usar texto para intentar eludir el análisis de imágenes, pero con algunos cambios.
El arte perdido de ASCII y cómo lo usan los atacantes
Es difícil de creer hoy, pero hubo un momento en que los ordenadores no podían mostrar gráficos. En consecuencia, las primeras imágenes de ordenador se crearon a partir de caracteres de texto. Después de la adopción del estándar en 1963, se utilizaron caracteres del ASCII (Código Estándar Estadounidense para el Intercambio de Información) para este tipo de arte con el fin de garantizar que las imágenes se vieran igual en diferentes ordenadores. Con el tiempo, otros símbolos de texto (por ejemplo, del conjunto Unicode extendido) comenzaron a usarse para crear imágenes, pero el nombre “gráficos ASCII” siguió siendo el término utilizado para describir esta forma de arte en su conjunto. Hubo artistas importantes que trabajaron con esta técnica, los primeros sitios web se diseñaron con arte ASCII e incluso la primera pornografía en un ordenador se representó con caracteres de texto.
A medida que la tecnología de visualización de imágenes evolucionó, el arte ASCII comenzó a pasar de moda. Tuvo un gran resurgimiento en la década de 2000 durante el auge de los correos electrónicos de spam. Por aquel entonces, los emisores de spam lo utilizaban principalmente porque les permitía ocultar palabras clave claramente asociadas al spam que podían activar los filtros de correo, además de generar menos carga en los servidores de correo que las imágenes. Por otro lado, dado que muchos usuarios pagaban por el volumen de tráfico de Internet en ese momento, a menudo desactivaban la carga de imágenes en sus clientes de correo electrónico. Claro está que, en ese momento, mejoramos nuestras soluciones de seguridad de correo electrónico con tecnología diseñada específicamente para bloquear el arte ASCII.
Ahora el arte ASCII ha sido redescubierto, esta vez por aquellos que buscan eludir la tecnología que reconoce códigos QR dentro de las imágenes.
¿Cómo se ve el phishing de arte ASCII?
He aquí un ejemplo reciente. El pretexto en sí es bastante común: alguien supuestamente le ha enviado a la víctima un documento confidencial a través de DocuSign, pero para abrirlo, el destinatario debe escanear el código QR en el correo electrónico para visitar un sitio web e introducir las credenciales de inicio de sesión corporativas.
Un código QR representado con caracteres Unicode. Hemos difuminado una parte del código para evitar que se escanee el enlace malicioso.
Es cierto que el código se ve extraño. Esto se debe principalmente a que está dibujado pieza por pieza en elementos pseudográficos, e incluso se pueden ver los espacios entre las líneas. En realidad, no hay una imagen real en el código del mensaje de correo electrónico. El código QR se ve algo así detrás de escena:
Arte ASCII dentro del código del correo electrónico
Como resultado, los analizadores de enlaces no pueden ver el enlace, y las herramientas de análisis de imágenes no pueden encontrar la URL oculta dentro del código QR, por lo que los atacantes suponen que el correo electrónico de phishing llegará sin problemas a la víctima. Spoiler: no, no hemos olvidado de cómo bloquear el arte ASCII.
¿Es normal ver un código QR en un correo electrónico?
En teoría, hay situaciones en las que tiene sentido usar un código QR. Es una forma bastante práctica de compartir contactos, un enlace a una aplicación móvil, una ubicación en el mapa o una configuración. En otras palabras, resulta efectivo cuando la información debe entregarse específicamente al dispositivo móvil del destinatario.
Pero alguien que use un código QR para obligarte a introducir credenciales corporativas en un dispositivo móvil es una señal de alerta instantánea. Y cuando ese código QR se genera con arte ASCII, es claramente un intento de phishing o un esfuerzo por hacer que accedas a una URL maliciosa. Este truco solo puede tener una finalidad: intentar eludir los controles de seguridad.
Cómo protegerte
Para evitar que los correos electrónicos de phishing (ya sea que contengan arte ASCII o no) lleguen a las bandejas de entrada de los empleados, recomendamos utilizar una puerta de enlace segura para correos electrónicos con capacidades antiphishing avanzadas. Como un nivel adicional de defensa, instala soluciones de seguridad en todos los endpoints utilizados para acceder a Internet.
Además, recomendamos formación de concienciación sobre la seguridad regular para educar a los empleados sobre las tácticas modernas de phishing, en especial, para explicar que el arte ASCII en los correos electrónicos modernos puede ser un claro indicio de un intento de ataque de phishing.
Consejos