Aumentan los ataques de Quishing en estaciones de carga para coches eléctricos

ESET advierte sobre la nueva estafa de Quishing que afecta a conductores de vehículos eléctricos

(15/Oct/2024 – Panama24Horas web) Buenos Aires, Argentina.- La creciente adopción de coches eléctricos ha traído consigo una nueva preocupación para los conductores. ESET, compañía líder en detección proactiva de amenazas, advierte que los ataques mediante códigos QR falsos están en aumento en las estaciones de recarga, con el objetivo de robar datos de pago.

En los últimos años, muchos países y regiones han impulsado rápidamente el uso de vehículos eléctricos. En 2023, se matricularon aproximadamente 14 millones de coches nuevos, lo que representa un aumento del 35% y eleva el total mundial a más de 40 millones. Sin embargo, esta expansión tecnológica también ha permitido el surgimiento de nuevas amenazas. Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, explica que «uno de los últimos trucos consiste en utilizar técnicas de suplantación de identidad mediante códigos QR, conocidas como ‘quishing’, para espiar o robar datos de pago».

El término quishing es una combinación de «phishing» y «código QR». Los estafadores colocan códigos QR falsos sobre los auténticos. Cuando un usuario escanea el código engañoso, es dirigido a un sitio de phishing que busca recolectar sus credenciales e información o, incluso, descargar malware. Gutiérrez Amaya señala que esta táctica es particularmente efectiva, ya que no genera el mismo nivel de sospecha que las URL de phishing tradicionales. Además, los dispositivos móviles suelen estar menos protegidos que las computadoras de escritorio, lo que incrementa las posibilidades de éxito. Un informe reciente reveló un aumento del 51% en los incidentes de quishing en septiembre en comparación con los primeros ocho meses de 2023.

Los delincuentes han encontrado formas de adaptar sus estafas a la creciente popularidad de los vehículos eléctricos. Informes procedentes del Reino Unido, Francia y Alemania indican que los estafadores están pegando códigos QR maliciosos sobre los legítimos en estaciones de recarga pública. Mientras que el código auténtico dirige a los usuarios a un sitio web para pagar la electricidad al operador de la estación (como Ubitricity), el código falso redirige a un sitio de suplantación que solicita la información de pago, la cual es recolectada por los cibercriminales. Se ha afirmado que el sitio legítimo se carga en un segundo intento, lo que engaña a las víctimas haciéndoles creer que pueden completar su pago sin problemas.

Además, algunos informes sugieren que los estafadores podrían estar utilizando tecnología de interferencia de señal para bloquear el uso de aplicaciones de recarga legítimas, obligando a las víctimas a escanear los códigos QR falsos. Con más de 600.000 puntos de recarga de vehículos eléctricos en Europa, los estafadores encuentran múltiples oportunidades para llevar a cabo sus fechorías, aprovechándose de la inexperiencia de muchos propietarios de coches eléctricos, quienes pueden estar más inclinados a escanear un código que a descargar aplicaciones oficiales de carga o llamar a líneas de ayuda.

ESET también ha documentado otros casos en los que los estafadores dirigen a los conductores mediante códigos QR maliciosos en parquímetros, donde las víctimas no solo corren el riesgo de perder los datos de sus tarjetas, sino que también podrían recibir multas del ayuntamiento. La advertencia sobre códigos QR falsos en señales de aparcamiento y parquímetros en Southampton, Reino Unido, resalta cómo estos mismos trucos pueden ser aplicados en las estaciones de recarga de coches eléctricos.

Aunque actualmente las estafas se limitan a la recopilación de datos de pago a través de sitios de phishing, no se puede descartar la posibilidad de que estas amenazas evolucionen para instalar malware que secuestre dispositivos o robe información confidencial adicional de las víctimas.

Desde ESET se comparten algunas sencillas medidas que se puede implementar para mitigar el riesgo de quishing mientras se está fuera de casa:

• Fijarse bien en el código QR y posibles señales de alarma. ¿Parece como si estuviera pegado encima de otra cosa, o forma parte del signo original? ¿Es de diferente color o tipo de letra que el resto de la señal, o parece fuera de lugar de alguna otra manera?

• Nunca escanear un código QR a menos que aparezca en el propio terminal del parquímetro.

• Considerar la posibilidad de pagar únicamente a través de una llamada telefónica o de la aplicación oficial de recarga del operador correspondiente.

• Desactivar la opción de realizar acciones automáticas al escanear un código QR, como visitar un sitio web o descargar un archivo. Después de escanearlo, observar la URL para comprobar que se trata de un dominio legítimo asociado al servicio, en lugar de una URL sospechosa.

• Analizar el sitio web al que dirige el código QR ¿Contiene errores gramaticales u ortográficos, o hay algo que parezca extraño? Si es así, puede tratarse de un sitio de phishing.

• Si algo no parece correcto, llamar directamente al operador del cobro.

• Muchos parquímetros ofrecen múltiples formas de pago, como tarjeta de crédito, pagos NFC o monedas. En caso de no sentirse cómodo escaneando un código QR, considerar la posibilidad de utilizar una de estas alternativas para evitar el riesgo de interactuar con un código fraudulento.

• Si se ha sufrido una estafa, congelar la tarjeta de pago y denunciar el posible fraude al banco/proveedor de tarjetas. Comprobar el extracto bancario en busca de transacciones sospechosas.

• Utilizar la autenticación de dos factores (2FA) en todas las cuentas que ofrezcan una capa adicional de seguridad. Esto ayuda a proteger la cuenta incluso si un estafador consigue redirigirle a un sitio web fraudulento y robar las credenciales.

• Asegurarse de que el dispositivo móvil tiene instalado un software de seguridad de un proveedor de confianza.