I codici QR sono diventati sempre più presenti nelle nostre vite soprattutto dopo la pandemia. La praticità e semplicità di utilizzo, hanno fatto sì che venissero adottati anche per l’elaborazione di pagamenti, richiesta di servizi, ordinazioni al ristorante, riscatto di premi e promozioni. Per gli utenti sono diventati qualcosa di familiare e che conoscono, con il quale quotidianamente interagiscono, sia in formato digitale che stampato su carta.
Questa tecnologia apparentemente innocua ha aperto un nuovo fronte per i cybercriminali: il Quishing o QR Phishing, una tecnica di phishing che sfrutta tecniche di ingegneria sociale per indurre l’utente, attraverso la scansione di codici QR, a condividere informazioni personali o eseguire codice malevolo.
Gli attacchi di tipo Quishing possono provocare danni devastanti non solo agli utenti ma anche alle aziende, come il furto di dati sensibili, la diffusione di malware, virus, ransomware e spyware che possono infiltrarsi e danneggiare l'intera rete aziendale, mettendo a rischio non solo i dati, ma anche il funzionamento regolare delle attività, con gravi danni reputazionali e perdite finanziarie. Vediamo nel dettaglio di cosa si tratta, alcuni casi studio e come difendersi.
La principale differenza è l’utilizzo di codici QR, sia su mezzi digitali che cartacei, nel caso di attacco Quishing anziché l’impiego di email o messaggi di testo tipici del Phishing.
I QR Code sono codici bidimensionali che hanno come funzione principale quella di memorizzare delle informazioni rese successivamente disponibili quando il codice QR viene scansionato tramite un lettore apposito o uno smartphone.
L’attaccante sfrutta il funzionamento dei codici QR, ci memorizza dei link verso siti web ingannevoli e li condivide via email o su stampa attendendo che l’utente ignaro scansioni il codice QR e navighi il link che lo stesso contiene.
Le finalità del Quishing sono del tutto assimilabili a quelle del Phishing classico inducendo l’utente a condividere le proprie credenziali, dati bancari o altri dati sensibili, o ancora installare/scaricare applicazioni, effettuare delle azioni con conseguente esecuzione di codice malevolo.
Come abbiamo visto prima, i codici QR sono diventati strumenti onnipresenti e apparentemente affidabili per le persone. L’attaccante sfrutta proprio questa confidenza per portare a buon fine i propri attacchi informatici. La loro efficacia sta nel fatto che l’utente per scansionare il codice QR ricevuto sulla propria email aziendale sul computer di lavoro oppure tramite carta dovrà utilizzare un cellulare o un altro dispositivo.
Spesso, le aziende non forniscono ai dipendenti dispositivi dotati di misure di sicurezza avanzate come l’MDR, proxy, DNS Security o Content Gateway. Questi strumenti potrebbero bloccare connessioni pericolose, come quelle attivate da un codice QR malevolo. Tuttavia, gli attaccanti riescono spesso a superare queste difese.
La situazione peggiora se un dipendente usa il telefono aziendale per scansionare un codice QR ricevuto tramite email personale o durante una pausa pranzo, magari per ottenere uno sconto al ristorante. Gli scenari di rischio sono numerosi e spesso inaspettati. Ad esempio, nel Regno Unito, un codice QR per il pagamento del parcheggio ha indotto gli utenti a scaricare un'applicazione che, senza che se ne accorgessero, li iscriveva a un costoso abbonamento per l’applicazione stessa. Analizziamo di seguito due casi di studio.
In Svizzera, si è assistito a un preoccupante aumento di truffe che sfruttano la figura del postino per ingannare le vittime. I truffatori inviano lettere cartacee che sembrano provenire dalla Posta Svizzera, contenenti codici QR. Questi codici, una volta scansionati, conducono a siti web fraudolenti che imitano le pagine ufficiali della Posta. Le vittime, ignare del pericolo, vengono indotte a inserire informazioni personali e finanziarie, come dati di carte di credito e credenziali di accesso. I truffatori utilizzano queste informazioni per scopi illeciti, come il furto di denaro e l'accesso non autorizzato a conti bancari. Questa truffa evidenzia la crescente sofisticazione delle tecniche di phishing, che ora sfruttano anche i canali di comunicazione tradizionali come la posta cartacea.
Un'altra tipologia di attacco Quishing che sta guadagnando terreno sfrutta l'urgenza e la familiarità. I truffatori inviano email che simulano comunicazioni ufficiali da fornitori, servizi online, come banche, società di spedizioni, piattaforme di e-commerce o social media. Queste email spesso contengono codici QR e pretesti allarmanti, come "reset password urgente" o "richiesta di pagamento in sospeso". La vittima, presa dal panico o dalla fretta, scansiona il codice QR senza riflettere. Questo codice la reindirizza a un sito web clone, identico all'originale, dove le viene richiesto di inserire le proprie credenziali o informazioni di pagamento. In questo modo, i truffatori ottengono l'accesso a dati sensibili, come password, numeri di carte di credito o informazioni personali, che possono utilizzare per furti d'identità o frodi finanziarie.
I codici QR vengono interpretati come immagini dai motori di email security e quindi molto spesso potrebbero essere ignorati nelle verifiche che gli stessi effettuano per valutare se una mail sia malevola o meno. Alcuni prodotti moderni riescono però ad analizzare il codice QR e a verificare la reputazione del link che lo stesso contiene prima che l’email venga consegnata all’utente finale impedendo quindi che lo stesso riceva un’email indesiderata.
Quando questa misura di sicurezza non è in campo, come per i casi di phishing classico, ci si può difendere prestando sempre molta attenzione all’attendibilità del mittente, comprendere se effettivamente si era in attesa di un’email con quella specifica richiesta e valutare complessivamente tutto il contesto ed eventuali fattori di urgenza e/o pressione in essa contenuti.
Inoltre, è sicuramente opportuno utilizzare modalità di autenticazione a più fattori, per evitare accessi non autorizzati, e scansionare i codici QR con dispositivi che ci consentano di avere una preview di quale sia il link nascosto dietro lo stesso per comprendere l’autenticità del portale sul quale l’utente si sta autenticando.
Di Carmine Belardini - HSOC Team Leader, CYBEROO