I criminali informatici utilizzano sempre più i codici QR nelle loro campagne di phishing per ingannare gli utenti e ottenere informazioni sui loro account e-mail, credenziali o dati sensibili. Questa tattica per ottenere credenziali nota come quishing, o phishing di codici QR, è stata osservata per la prima volta su larga scala nel maggio del 2023, quando un gruppo di criminali informatici ha falsificato gli avvisi di sicurezza di Microsoft chiedendo ai dipendenti di diversi settori di scansionare un codice QR per aggiornare le impostazioni di sicurezza del proprio account. Una volta che gli utenti hanno scansionato il QR, un collegamento di reindirizzamento li ha portati a una pagina Web falsa che richiedeva le loro credenziali per accedere al proprio account Microsoft.
Dopo questo attacco diffuso, i criminali informatici hanno continuato a sfruttare questa nuova tecnica. Infatti, un recente report ha rilevato che il 22% delle campagne di phishing rilevate nelle prime settimane di ottobre 2023 hanno adottato questa strategia.
Come funziona il quishing?
Quando sferrano un attacco quishing, i criminali informatici iniziano creando un codice QR falso che porta a un sito Web fraudolento che si spaccia per la pagina di accesso di un account aziendale. Questo sito Web può essere utilizzato per scaricare malware sul dispositivo della vittima o richiedere dati sensibili come credenziali o altre informazioni come numeri di carta di credito o dettagli bancari. In un attacco quishing, il codice malevolo può essere distribuito in diversi modi:
- Annunci informativi
- Menu dei ristoranti
- Servizi per la mobilità personale
È più probabile che le aziende cadano vittime di un attacco di quishing tramite la loro posta elettronica aziendale. Questo perché i criminali informatici, oltre a nascondere le minacce nei codici QR, abusano anche di domini attendibili, utilizzando tattiche di offuscamento e nascondendo gli URL all’interno dei codici QR incorporati negli allegati PNG o PDF. Queste tecniche aiutano le e-mail a raggiungere le caselle di posta senza essere rilevate dai filtri di sicurezza.
Come evitare di diventare vittima del quishing?
Come per qualsiasi tipo di phishing, è fondamentale proteggere le aziende dagli attacchi quishing: il personale deve essere istruito su come identificare ed evitare questi attacchi. È fondamentale stabilire buone pratiche come:
- Verificare la legittimità del mittente: ogni volta che si riceve un codice QR via e-mail da una fonte che sembra autentica, confermare la legittimità del messaggio con un altro mezzo, come un messaggio di testo o una telefonata.
- Attenzione ai segnali di allarme di un attacco di phishing: questi attacchi spesso utilizzano tecniche di ingegneria sociale per ingannare le persone, quindi, occorre fare attenzione ai segnali rivelatori come un senso di urgenza o richiami alle emozioni.
- Osservare l’URL del codice QR prima di aprirlo: a volte è possibile controllare l’anteprima dell’URL nel codice per capire se sembra sospetto o meno. Tuttavia, diffidare di qualsiasi URL che porti a un sito che richiede dati personali, credenziali di accesso o pagamenti.
- Mantenere una buona igiene delle password: modificare frequentemente le password e-mail ed evitare di riutilizzare la stessa password per più di un account.
Oltre alla formazione del personale, occorre implementare controlli di sicurezza a più livelli che rilevino e blocchino questi attacchi o altri tipi di attacchi di phishing:
- Protezione email:
Questa soluzione funge da prima linea di difesa contro gli attacchi di phishing rilevando le e-mail sospette e cancellandole.
- Endpoint security:
Se un dipendente dovesse scansionare un codice malevolo, una soluzione di protezione endpoint sarebbe in grado di rilevare sia siti Web falsi che URL malevoli, nonché processi sospetti o comportamenti insoliti, impedendo così l’attacco.
Nuove tecniche di attacco come questa evidenziano l’importanza di disporre di un sistema di difesa a più livelli in grado di rilevare e fermare le minacce avanzate a qualsiasi livello.