⛶ 𝄃𝄂🪝“Quish Splash” QR phishing campaign hits 1.6M users, hiding malicious links inside images to bypass email security and steal credentials undetected.

Read: https://hackread.com/quish-splash-qr-code-phishing-hits-users/

#CyberSecurity #Phishing #QRcode #Quishing #Malware

QR phishing (quishing) in action 🚨
Fake Municipal Court texts pushing QR payments = active scam vector

No authority requests payments via QR/text
User awareness is the only control here

Source: https://x.com/DallasPD/status/2035087910391758874?s=20

Are orgs ready for QR-based threats? 👇
Follow @technadu for more

#Infosec #Phishing #Quishing #CyberSecurity

Alerta del FBI – No escanees los códigos QR de paquetes misteriosos que lleguen a tu puerta

La curiosidad puede salirte muy cara. El FBI ha emitido una advertencia urgente este 17 de marzo de 2026 sobre una nueva y sofisticada variante de las «estafas de cepillado» (brushing scams). En esta ocasión, los criminales no solo buscan inflar reseñas de productos, sino vaciar cuentas bancarias mediante paquetes que llegan sin remitente y cuya única instrucción es escanear un código QR para «descubrir quién envió el regalo» (Fuente FTC).

Esta alerta, se suma a la creciente ola de ciberdelincuencia de marzo, que ya incluye ataques rusos a Signal y la proliferación de bots en el nuevo Digg.

El «Quishing» postal: Así funciona la trampa

A diferencia de las estafas tradicionales por correo electrónico, el uso de un paquete físico añade una capa de «confianza» que engaña incluso a los usuarios más precavidos:

• El Paquete Anónimo: Recibes un sobre o caja (a menudo con productos de poco valor como fundas de móvil o cables) que no indica quién es el remitente.
• El Cebo: Dentro hay una nota que te invita a escanear un código QR para «ver el mensaje de tu admirador secreto», «obtener instrucciones de devolución» o «reclamar un premio».
• El Robo: Al escanearlo, el código te dirige a una web de phishing diseñada para robar tus credenciales bancarias o, peor aún, descarga automáticamente malware en tu smartphone que permite a los hackers rastrear todo lo que escribes.

¿Por qué los hackers usan códigos QR físicos?

Según el FBI, el uso de QR en papel ofrece ventajas críticas para los estafadores:

Cómo protegerte de la «caja misteriosa»

Las autoridades han sido muy claras en sus recomendaciones para este 2026:

• Regla de Oro: Si no esperas un paquete y el remitente es desconocido, no escanees nada. La ley permite que te quedes con el contenido del paquete como un regalo, pero el código QR es terreno prohibido.
• Verifica el Remitente: Las empresas legítimas siempre incluyen una factura o un albarán con datos de contacto claros.
• Reporta al IC3: Si recibes uno de estos paquetes, el FBI solicita que lo denuncies en el Internet Crime Complaint Center (ic3.gov), aportando fotos del paquete y del código (sin escanearlo).

Un ecosistema digital bajo asedio

Esta noticia llega en un momento de máxima alerta tecnológica. Mientras Garmin integra WhatsApp para que no tengas que sacar el móvil, los criminales buscan precisamente que lo saques para escanear sus códigos. Es la misma semana en que Meta ha retirado el cifrado de Instagram, dejando a los usuarios más expuestos, y en la que Google ha tenido que corregir errores de certificación en sus nuevos teléfonos.

La ciberseguridad en 2026 ya no se trata solo de lo que haces en la pantalla, sino de cómo interactúas con los objetos que llegan a tu buzón.

📱Smishing Slows, Quishing Quickens 🎣

Sick of smishing and those pesky parking/toll texts? Don’t get caught by crafty, counterfeit court QR codes — it’s a scan-and-scam! 💳 🚨

North American cell phone users are being hit with yet another wave of smishing campaigns that now include quishing elements. Likely orchestrated by Chinese-speaking threat actors, this latest campaign builds on previous vehicular violations, evolving tactics while impersonating US courts. 🧑‍⚖️

We’ve recently seen a flurry of SMS messages pushing parking violations — but with a twist: face justice in court… or scan and pay instead!

Delivered as an official-looking image, the actor has begun integrating QR codes into these lures to help mask suspicious phishing URLs, baiting victims into entering personal information, credentials, and ultimately making payments.

For some, this lure may sound better than facing justice for their perceived poor parking. Victims who don't comply are warned that failure to appear or pay could have serious repercussions - a scare tactic designed to push you toward a hasty decision and scanning the QR code! 🫣

We uncovered thousands of these nefarious domains, through their use of Registered Domain Generation Algorithms (RDGAs) and local government impersonation, hosted across a diverse range of hosting providers to evade takedown.

Recent examples:
⛔ ahfgx[.]icu
⛔ euoyq[.]icu
⛔ htpze[.]icu
⛔ mwlaj[.]icu

Friendly reminder - courts don't usually communicate with you via text. That said, we suspect this actor will continue to evolve, expanding their global reach and diversifying lures while improving tradecraft used in smishing and quishing delivery. As for us, we'll take our chances on evading that bench warrant and running from the law. 🏃‍♂️‍➡️

#dns #threatintel #threatintelligence #cybercrime #cybersecurity #infosec #infoblox #infobloxthreatintel #phishing #smishing #quishing