Cos'è il quishing?
Il phishing tramite QR, noto anche come 'quishing', è un crimine informatico che sfrutta la popolarità dei codici QR. In questa truffa, i criminali informatici creano codici QR dannosi che, una volta scansionati, portano a siti fraudolenti o avviano il download di software dannoso. Con l'uso crescente dei codici QR per diversi scopi, come accedere ai menù o effettuare pagamenti, le persone potrebbero inconsapevolmente scansionare questi codici ingannevoli, mettendo a rischio le loro informazioni personali.
Questo comportamento è stato evidenziato durante il Super Bowl del 2022 quando l'innovativa pubblicità di Coinbase con codice QR ha portato a un significativo aumento nei download dell'app. Tuttavia, ha anche sollevato preoccupazioni nella comunità della cybersecurity, specialmente alla luce delle recenti truffe Crypto QR, in cui i truffatori hanno utilizzato codici QR per manipolare le vittime a prelevare denaro dai propri conti.
Il termine 'quishing' combina codici QR e phishing, indicando un metodo in cui gli attori maligni creano codici QR falsi per indirizzare gli utenti a siti contraffatti, rubare informazioni o installare malware sui loro dispositivi. L'obiettivo è ingannare le persone facendole credere di interagire con un codice QR innocuo o necessario, mentre la reale intenzione è accedere e rubare informazioni personali e finanziarie.
Cos'è un codice QR?
I codici QR, o Quick Response codes, sono codici a barre bidimensionali che possono memorizzare una grande quantità di dati e possono essere letti rapidamente dagli smartphone o dai lettori di codici a barre. Inizialmente inventati da un produttore automobilistico giapponese nel 1994 per migliorare l'efficienza nella produzione, i codici QR hanno visto un aumento d'uso negli ultimi anni.
Sono diventati particolarmente popolari durante la pandemia come modo per mantenere la continuità degli affari rispettando le regole di distanziamento sociale. Di conseguenza, i consumatori si sono abituati a scansionare i codici QR, con studi che prevedono che più di 100 milioni di utenti negli Stati Uniti useranno i loro telefoni per scansionare i codici QR entro il 2025.
La versatilità dei codici QR, che possono essere scansionati sia da schermi che da carta, ha portato alla loro adozione diffusa in vari settori, tra cui elaborazione dei pagamenti, marketing e pubblicità. Oggi, i codici QR si trovano comunemente in spazi pubblici come cartelloni pubblicitari e ristoranti, oltre che nelle comunicazioni digitali come messaggi di testo, social media ed email.
Codici QR statici contro dinamici
I codici QR possono essere classificati in due tipi principali basati sulla flessibilità dei dati: statici e dinamici.
Codici QR statici sono fissi e non possono essere modificati una volta creati. Sono comunemente usati per condividere informazioni statiche come un URL di un sito web, dettagli di contatto o una password Wi-Fi.
Codici QR dinamici, al contrario, sono più flessibili in quanto le informazioni che codificano possono essere aggiornate o cambiate senza modificare l'aspetto del codice. Contengono un URL unico che indirizza gli utenti a un server dove le informazioni sono memorizzate. Questa adattabilità li rende ideali per situazioni in cui il contenuto necessita di aggiornamenti frequenti, come informazioni su eventi, offerte promozionali o tracking dell'inventario in tempo reale. Tuttavia, questa stessa flessibilità rappresenta anche un rischio per la sicurezza, poiché i truffatori possono sfruttare i codici QR dinamici modificando la loro origine per reindirizzare gli utenti a siti dannosi.
Che cos'è il phishing?
Il Phishing è un metodo ampiamente utilizzato dai criminali informatici per accedere a dati preziosi tramite attacchi di ingegneria sociale, principalmente attraverso email. Un tipico email di phishing contiene un link o allegato, inducendo l'utente a cliccare o scaricare, con l'obiettivo di rubare informazioni sensibili come dettagli finanziari o credenziali di accesso aziendali.
Tuttavia, poiché gli attaccanti cercano continuamente tecniche più efficaci, sono emerse nuove tattiche di phishing, tra cui vishing (phishing vocale), smishing (phishing via SMS) e quishing (QR phishing). Queste varianti sfruttano diversi canali di comunicazione per eseguire pratiche ingannevoli simili, con il quishing che sfrutta specificamente la popolarità e la convenienza dei codici QR per indurre gli utenti a rivelare le loro informazioni personali.
Come funziona il quishing?
Il quishing è un tipo di attacco di phishing che utilizza codici QR per ingannare le persone facendole visitare siti web dannosi o scaricare file contenenti malware. I codici QR possono ospitare varie fonti, come link, documenti e portali di pagamento, rendendoli uno strumento versatile per i cybercriminali. Questi codici possono essere manipolati per contenere link malevoli, documenti carichi di virus o portali di pagamento falsi. Dato che il contenuto dietro un codice QR non è visibile quando è visualizzato come immagine, fornisce un mezzo ideale per i truffatori per eludere le misure di sicurezza incorporandoli in email.
Un attacco di quishing di solito inizia con un criminale informatico che crea codici QR che reindirizzano a una pagina di login fraudolenta per raccogliere le credenziali delle vittime o a un sito che scarica automaticamente malware al momento della scansione. Questi codici QR dannosi possono essere inseriti in email come immagini o allegati, o possono essere posizionati in aree pubbliche dove le persone sono inclini a scansionarli. Una volta scansionato il codice QR, le vittime possono ricevere richieste di inserire informazioni sensibili come dettagli di accesso o informazioni bancarie, oppure potrebbero scaricare inconsapevolmente software o app dannosi. In alcuni casi, il download di contenuti dannosi può avvenire automaticamente immediatamente dopo la scansione del codice, compromettendo ulteriormente il dispositivo della vittima.
Capire QRLJacking: uno studio sul quishing
Il QRLJacking è una forma sofisticata di quishing che prende di mira specificamente i sistemi di autenticazione con QR. Il QRL è un metodo di autenticazione user-friendly che permette agli utenti di effettuare il login a siti web, applicazioni o servizi digitali scansionando un codice QR con il proprio smartphone. Questo metodo elimina la necessità di ricordare password complesse, offrendo un'alternativa conveniente per gli utenti.
Tuttavia, questa convenienza introduce anche una vulnerabilità che i criminali informatici hanno imparato a sfruttare. In un attacco di QRLJacking, i hacker avviano una sessione sul sito o app bersaglio e clonano il codice QR legittimo. Manipolano quindi il codice clonato reindirizzandolo al loro server e lo incorporano in una pagina di login falsa che imita l'originale. Il codice QR dannoso è distribuito tramite email o altri canali, ingannando gli utenti a scansionarlo per effettuare il login.
Il pericolo del QRLJacking diventa evidente quando l'autenticazione a più fattori non è attivata. Appena la vittima scansiona il codice QR manipolato, l'aggressore ottiene immediato accesso all'account della vittima. Un esempio significativo di questo attacco si è verificato con ING Bank, la cui app ha permesso ai clienti di effettuare il login su un secondo dispositivo scansionando un codice QR. I cybercriminali hanno sfruttato questa funzione, manomettendo i codici QR legittimi all'interno dell'app. Gli utenti inconsapevoli che sono caduti vittime della truffa hanno scoperto che somme significative di denaro erano scomparse dai loro conti.
Come puoi rilevare un attacco di quishing?
Rilevare un attacco di quishing può essere difficile a causa della natura intrinseca dei codici QR, che nascondono i loro contenuti finché non vengono scansionati. A differenza degli attacchi di phishing tradizionali, le email di quishing contengono codici QR come semplici immagini o all'interno di allegati con estensioni non sospette, permettendo loro di bypassare i rilevatori di malware e i filtri delle email. Questo significa che possono sfuggire alla rilevazione e non essere relegati nella cartella spam, lasciando gli individui vulnerabili alle tattiche di ingegneria sociale.
L'attrattiva dei codici QR per i truffatori risiede nella loro capacità di suscitare curiosità e sfruttare emozioni come paura e urgenza. Questi trigger emotivi possono portare ignari a scansionare codici QR malevoli destinati ad attività fraudolente, come pagare false bollette o multe. La convenienza e la rapidità dei codici QR vengono sfruttate per facilitare queste truffe.
Per proteggersi dalle frodi con codici QR, è importante essere vigili e cercare alcuni segnali prima di scansionare un codice QR:
- Codici QR inaspettati o non richiesti: Sii cauto con i codici QR che compaiono in email o messaggi non richiesti, specialmente se ti chiedono di agire immediatamente.
- Mancanza di contesto o spiegazione: I codici QR legittimi sono solitamente accompagnati da spiegazioni chiare del loro scopo. Sospettati dei codici che mancano di contesto o di una fonte credibile.
- Mittente sospetto: Controlla l'indirizzo email o le informazioni di contatto del mittente per eventuali segni di illegittimità, come errori di ortografia o nomi di dominio insoliti.
- Urgenza o pressione: I truffatori spesso creano un senso di urgenza per spingere ad agire rapidamente. Sii scettico nei confronti dei messaggi che ti spingono a scansionare un codice QR immediatamente.
- Verifica la fonte: Se possibile, verifica la legittimità del codice QR contattando il presunto mittente tramite canali ufficiali.
- Usa uno scanner QR sicuro: Alcune app di scannerizzazione QR offrono funzionalità di sicurezza che controllano la sicurezza del link prima di aprirlo. Considera l'utilizzo di un'app del genere per aggiungere un ulteriore strato di protezione.
Essendo consapevoli di questi segnali ed esercitando cautela, puoi ridurre il rischio di diventare vittima di un attacco di quishing e proteggere le tue informazioni sensibili da essere compromesse.
Ecco come puoi proteggerti dal quishing
Per proteggersi dagli attacchi di quishing, è importante combinare strategie generali di prevenzione del phishing con misure specificamente adattate alle sfide uniche poste dai codici QR:
- Verifica la fonte del QR: Esercita cautela quando scansioni codici QR, in particolare da fonti sconosciute o che promettono offerte troppo belle per essere vere. Se il codice proviene da una fonte apparentemente ufficiale, un amico o un collega, verifica direttamente con loro la sua autenticità o visita il loro sito ufficiale.
- Usa un lettore QR affidabile: Sebbene la maggior parte degli smartphone abbia capacità di scansione QR integrate, se opti per un'app di terze parti, assicurati che sia affidabile. Sii cauto con aggiornamenti fraudolenti per app di scansione QR, poiché in passato sono stati noti per distribuire malware.
- Anteprima dell'URL di destinazione: Se la tua app di scansione lo permette, visualizza in anteprima il link a cui ti dirige il codice QR prima di accedervi. Questa precauzione aiuta a proteggere contro i codici QR che scaricano automaticamente malware al momento della scansione.
- Fai attenzione con le informazioni personali: Dopo aver scansionato un codice QR, fai attenzione quando ti viene chiesto di inserire informazioni personali su una pagina collegata. Ricontrolla il logo e l'URL completo del sito e, se possibile, digita manualmente l'URL originale nel tuo browser invece di utilizzare il link fornito dal codice QR.
- Abilita l'autenticazione a due fattori: Aggiungere questo ulteriore livello di sicurezza può prevenire accessi non autorizzati ai tuoi account, anche se un cybercriminale ottiene le tue credenziali. Sii cauto nell'accettare notifiche di autenticazione sul tuo telefono a meno che tu non abbia tentato di accedere a un account.
- Informati con formazione sulla consapevolezza della sicurezza: Aggiornando regolarmente la tua conoscenza delle tattiche dei cybercriminali e di come rispondere a potenziali attacchi, puoi restare un passo avanti alle minacce.
Seguendo queste raccomandazioni, puoi migliorare la tua difesa contro gli attacchi di quishing e proteggere le tue informazioni sensibili dal cadere nelle mani sbagliate.