Cos'è il quishing?
Il QR phishing, noto anche come "quishing, è un crimine informatico che sfrutta la popolarità dei codici QR. In questa truffa, i criminali informatici creano codici QR dannosi che, una volta scansionati, portano a siti web fraudolenti o spingono a scaricare software dannosi. Poiché le persone utilizzano sempre più spesso i codici QR per vari scopi, come l'accesso ai menu o i pagamenti, possono inconsapevolmente scansionare questi codici ingannevoli, mettendo a rischio le loro informazioni personali.
Questo comportamento è stato evidenziato durante il Super Bowl del 2022, quando l'innovativa pubblicità di Coinbase con codice QR ha portato a un aumento significativo dei download dell'app. Tuttavia, ha anche sollevato preoccupazioni nella comunità della cybersicurezza, soprattutto alla luce delle recenti truffe Crypto QR in cui i truffatori hanno utilizzato i codici QR per manipolare le vittime a prelevare denaro dai loro conti.
Il termine "quishing" combina codici QR e phishing, indicando un metodo in cui gli attori malintenzionati creano codici QR falsi per indirizzare gli utenti verso siti parassiti, rubare informazioni o installare malware sui loro dispositivi. L'obiettivo è quello di ingannare gli utenti facendo credere loro di interagire con un codice QR innocuo o necessario, mentre il vero intento è quello di accedere e rubare informazioni personali e finanziarie.
Cos'è un codice QR?
I codici QR, o Quick Response codes, sono codici a barre bidimensionali che possono memorizzare una grande quantità di dati e possono essere letti rapidamente dagli smartphone o dai lettori di codici a barre. Inizialmente inventati da un produttore automobilistico giapponese nel 1994 per migliorare l'efficienza nella produzione, i codici QR hanno visto un aumento d'uso negli ultimi anni.
Sono diventati particolarmente popolari durante la pandemia come modo per mantenere la continuità degli affari rispettando le regole di distanziamento sociale. Di conseguenza, i consumatori si sono abituati a scansionare i codici QR, con studi che prevedono che più di 100 milioni di utenti negli Stati Uniti useranno i loro telefoni per scansionare i codici QR entro il 2025.
La versatilità dei codici QR, che possono essere scansionati sia da schermi che da carta, ha portato alla loro adozione diffusa in vari settori, tra cui elaborazione dei pagamenti, marketing e pubblicità. Oggi, i codici QR si trovano comunemente in spazi pubblici come cartelloni pubblicitari e ristoranti, oltre che nelle comunicazioni digitali come messaggi di testo, social media ed email.
Codici QR statici contro dinamici
I codici QR possono essere classificati in due tipi principali basati sulla flessibilità dei dati: statici e dinamici.
Codici QR statici sono fissi e non possono essere modificati una volta creati. Sono comunemente usati per condividere informazioni statiche come un URL di un sito web, dettagli di contatto o una password Wi-Fi.
Codici QR dinamici, al contrario, sono più flessibili in quanto le informazioni che codificano possono essere aggiornate o cambiate senza modificare l'aspetto del codice. Contengono un URL unico che indirizza gli utenti a un server dove le informazioni sono memorizzate. Questa adattabilità li rende ideali per situazioni in cui il contenuto necessita di aggiornamenti frequenti, come informazioni su eventi, offerte promozionali o tracking dell'inventario in tempo reale. Tuttavia, questa stessa flessibilità rappresenta anche un rischio per la sicurezza, poiché i truffatori possono sfruttare i codici QR dinamici modificando la loro origine per reindirizzare gli utenti a siti dannosi.
Che cos'è il phishing?
Il phishing è un metodo ampiamente utilizzato dai criminali informatici per accedere a dati preziosi attraverso attacchi di social engineering, principalmente tramite e-mail. Una tipica e-mail di phishing contiene un link o un allegato che invoglia l'utente a fare clic o a download , con l'obiettivo di rubare informazioni sensibili come dettagli finanziari o credenziali di accesso all'azienda.
Tuttavia, poiché gli aggressori sono alla continua ricerca di tecniche più efficaci, sono emerse nuove tattiche di phishing, tra cui vishing(phishing vocale), smishing (SMS phishing) e quishing (QR phishing). Queste varianti sfruttano canali di comunicazione diversi per mettere in atto pratiche ingannevoli simili, con il quishing che sfrutta in particolare la popolarità e la comodità dei codici QR per indurre gli utenti a rivelare le proprie informazioni personali.
Come funziona il quishing ?
Il Quishing è un tipo di attacco di phishing che utilizza i codici QR per indurre le persone a visitare siti web dannosi o a scaricare file contenenti malware. I codici QR possono ospitare diverse fonti, come link, documenti e portali di pagamento, il che li rende uno strumento versatile per i criminali informatici. Questi codici possono essere manipolati per contenere link dannosi, documenti carichi di virus o falsi portali di pagamento. Poiché il contenuto di un codice QR non è visibile quando viene visualizzato come immagine, esso rappresenta un mezzo ideale per i truffatori per eludere le misure di sicurezza incorporandolo nelle e-mail.
Un attacco di quishing di solito inizia con un criminale informatico che crea codici QR che reindirizzano a una pagina di login fraudolenta per raccogliere le credenziali delle vittime o a un sito che scarica automaticamente malware al momento della scansione. Questi codici QR dannosi possono essere inseriti in email come immagini o allegati, o possono essere posizionati in aree pubbliche dove le persone sono inclini a scansionarli. Una volta scansionato il codice QR, le vittime possono ricevere richieste di inserire informazioni sensibili come dettagli di accesso o informazioni bancarie, oppure potrebbero scaricare inconsapevolmente software o app dannosi. In alcuni casi, il download di contenuti dannosi può avvenire automaticamente immediatamente dopo la scansione del codice, compromettendo ulteriormente il dispositivo della vittima.
Capire QRLJacking: uno studio sul quishing
Il QRLJacking è una forma sofisticata di quishing che prende di mira in modo specifico i sistemi Quick Response Login (QRL). Il QRL è un metodo di autenticazione facile da usare che consente agli utenti di accedere a siti web, applicazioni o servizi digitali scansionando un codice QR con il proprio smartphone. Questo metodo elimina la necessità di ricordare password complesse, offrendo una comoda alternativa agli utenti.
Tuttavia, questa convenienza introduce anche una vulnerabilità che i criminali informatici hanno imparato a sfruttare. In un attacco di QRLJacking, i hacker avviano una sessione sul sito o app bersaglio e clonano il codice QR legittimo. Manipolano quindi il codice clonato reindirizzandolo al loro server e lo incorporano in una pagina di login falsa che imita l'originale. Il codice QR dannoso è distribuito tramite email o altri canali, ingannando gli utenti a scansionarlo per effettuare il login.
Il pericolo del QRLJacking diventa evidente quando l'autenticazione a più fattori non è attivata. Appena la vittima scansiona il codice QR manipolato, l'aggressore ottiene immediato accesso all'account della vittima. Un esempio significativo di questo attacco si è verificato con ING Bank, la cui app ha permesso ai clienti di effettuare il login su un secondo dispositivo scansionando un codice QR. I cybercriminali hanno sfruttato questa funzione, manomettendo i codici QR legittimi all'interno dell'app. Gli utenti inconsapevoli che sono caduti vittime della truffa hanno scoperto che somme significative di denaro erano scomparse dai loro conti.
Come puoi rilevare un attacco di quishing?
Rilevare un attacco quishing può essere difficile a causa della natura intrinseca dei codici QR, che nascondono il loro contenuto fino alla scansione. A differenza degli attacchi di phishing tradizionali, le e-mail quishing contengono i codici QR come immagini semplici o all'interno di allegati con estensioni non sospette, consentendo loro di eludere i rilevatori di malware e i filtri e-mail. Ciò significa che possono eludere il rilevamento e non essere relegati nella cartella spam, lasciando gli individui vulnerabili alle tattiche di social engineering.
L'attrattiva dei codici QR per i truffatori risiede nella loro capacità di suscitare curiosità e sfruttare emozioni come paura e urgenza. Questi trigger emotivi possono portare ignari a scansionare codici QR malevoli destinati ad attività fraudolente, come pagare false bollette o multe. La convenienza e la rapidità dei codici QR vengono sfruttate per facilitare queste truffe.
Per proteggersi dalle frodi con codici QR, è importante essere vigili e cercare alcuni segnali prima di scansionare un codice QR:
- Codici QR inaspettati o non richiesti: Sii cauto con i codici QR che compaiono in email o messaggi non richiesti, specialmente se ti chiedono di agire immediatamente.
- Mancanza di contesto o spiegazione: I codici QR legittimi sono solitamente accompagnati da spiegazioni chiare del loro scopo. Sospettati dei codici che mancano di contesto o di una fonte credibile.
- Mittente sospetto: Controlla l'indirizzo email o le informazioni di contatto del mittente per eventuali segni di illegittimità, come errori di ortografia o nomi di dominio insoliti.
- Urgenza o pressione: I truffatori spesso creano un senso di urgenza per spingere ad agire rapidamente. Sii scettico nei confronti dei messaggi che ti spingono a scansionare un codice QR immediatamente.
- Verifica la fonte: Se possibile, verifica la legittimità del codice QR contattando il presunto mittente tramite canali ufficiali.
- Usa uno scanner QR sicuro: Alcune app di scannerizzazione QR offrono funzionalità di sicurezza che controllano la sicurezza del link prima di aprirlo. Considera l'utilizzo di un'app del genere per aggiungere un ulteriore strato di protezione.
Essendo consapevoli di questi segnali ed esercitando cautela, puoi ridurre il rischio di diventare vittima di un attacco di quishing e proteggere le tue informazioni sensibili da essere compromesse.
Ecco come puoi proteggerti dal quishing
Per proteggersi dagli attacchi di quishing, è importante combinare strategie generali di prevenzione del phishing con misure specificamente adattate alle sfide uniche poste dai codici QR:
- Verifica la fonte del QR: Esercita cautela quando scansioni codici QR, in particolare da fonti sconosciute o che promettono offerte troppo belle per essere vere. Se il codice proviene da una fonte apparentemente ufficiale, un amico o un collega, verifica direttamente con loro la sua autenticità o visita il loro sito ufficiale.
- Usa un lettore QR affidabile: Sebbene la maggior parte degli smartphone abbia capacità di scansione QR integrate, se opti per un'app di terze parti, assicurati che sia affidabile. Sii cauto con aggiornamenti fraudolenti per app di scansione QR, poiché in passato sono stati noti per distribuire malware.
- Anteprima dell'URL di destinazione: Se la tua app di scansione lo permette, visualizza in anteprima il link a cui ti dirige il codice QR prima di accedervi. Questa precauzione aiuta a proteggere contro i codici QR che scaricano automaticamente malware al momento della scansione.
- Fai attenzione con le informazioni personali: Dopo aver scansionato un codice QR, fai attenzione quando ti viene chiesto di inserire informazioni personali su una pagina collegata. Ricontrolla il logo e l'URL completo del sito e, se possibile, digita manualmente l'URL originale nel tuo browser invece di utilizzare il link fornito dal codice QR.
- Abilita l'autenticazione a due fattori: Aggiungere questo ulteriore livello di sicurezza può prevenire accessi non autorizzati ai tuoi account, anche se un cybercriminale ottiene le tue credenziali. Sii cauto nell'accettare notifiche di autenticazione sul tuo telefono a meno che tu non abbia tentato di accedere a un account.
- Informati con formazione sulla consapevolezza della sicurezza: Aggiornando regolarmente la tua conoscenza delle tattiche dei cybercriminali e di come rispondere a potenziali attacchi, puoi restare un passo avanti alle minacce.
Seguendo queste raccomandazioni, puoi migliorare la tua difesa contro gli attacchi di quishing e proteggere le tue informazioni sensibili dal cadere nelle mani sbagliate.