Cyberattack Data Protection ExperThinkers Phishing Security Trend

Fenomeno Qishing: la truffa tramite QR Code

20 Ottobre 2023

Nell’ultimo periodo gli esperti di sicurezza di tutto il mondo attenzionano il diffondersi di una nuova tecnica fraudolenta chiamata Qishing: una pratica sempre più comune che consiste nell’utilizzare codici QR malevoli per sottrarre alle vittime credenziali, dati sensibili, e addirittura denaro.

L’espressione QR Code ovvero “Quick Response Code” significa “codice a risposta veloce” e rappresenta una matrice che porta con sé specifiche informazioni; esso può essere considerato l’evoluzione del più noto codice a barre ma, in questo caso, una volta scansionato con uno smartphone, il QR Code apre le porte a siti web e contenuti multimediali.

Mentre il phishing tradizionale sfrutta link malevoli diffusi via mail o via SMS, il Qishing prevede che la vittima inquadri un apposito QR Code. L’utilizzo di tali codici è sempre più diffuso: lo utilizziamo per pagare, accedere a informazioni, ottenere sconti, scaricare guide, accedere ad una rete wi-fi, inviare sms, autenticarci ad applicazioni, prendere visione di informative, ecc.

La nostra quotidianità è all’insegna dei QR Code, che, a differenza di altri tipi di strumenti di comunicazione, non rende esplicito in alcun modo se il sito a cui si rimanda sia legittimo o meno. Ecco perché, per esempio, quando si utilizza la scansione da smartphone diventa importante assicurarsi di utilizzare la funzione di anteprima (se presente) che mostra l’URL a cui punta il QR Code.

Per generare un codice falso è sufficiente per i malintenzionati utilizzare uno dei tanti generatori presenti su Internet. I moduli bianchi e neri dei codici QR non sono altro che informazioni codificate capaci, una volta inquadrate con la fotocamera dello smartphone, di rimandare l’utente ad una specifica pagina web contenente le informazioni più disparate. Infatti, ciò che è pericoloso è la destinazione del QR Code più che il codice stesso da inquadrare. I collegamenti dannosi potrebbero riportare a download di file word o pdf malevoli, o ad applicazioni contenenti malware.
Per aumentare le probabilità di successo, non è raro che i malintenzionati associno al QR Code sospetto loghi familiari di brand che le persone conoscono e di cui si fidano.

Come difendersi dal Qishing?

    • Se possibile, evitare di pagare tramite un codice QR fatture o commissioni; meglio connettersi al sito web dell’organizzazione nel proprio browser e cercare lì eventuali pagamenti richiesti.
    • Se un collegamento (da un codice QR o altro) sembra sospetto, contattare il gestore del servizio interessato prima di procedere, specialmente se sono richieste informazioni finanziarie.
    • Visualizzare attentamente l’anteprima della URL dopo aver scansionato il codice QR, prima di continuare.
    • Come con qualsiasi altra truffa, prestare attenzione alla presenza di toni di urgenza nella mail o nel sito raggiunto.
    • Non sempre è necessario scaricare il lettore di codici QR da uno store: spesso quello integrato nativamente in qualsiasi smartphone va più che bene e si evitano così i rischi legati a scanner di codici QR falsi e quelli che sono forniti insieme a extra indesiderati nascosti (es pubblicità).
    • Prestare attenzione alle URL abbreviate: meglio controllare il collegamento e se possibile espanderlo prima di accedervi.
    • Se la pagina di destinazione mostra un modulo di accesso che richiede le informazioni personali, i dettagli bancari o le password, non intraprendere alcuna azione e chiudere la pagina.
    • In caso di QR Code presente materialmente in un luogo pubblico (es. menù ristorante) controllare se quest’ultimo è stato manomesso con un adesivo o sostituito. I QR Code falsi potrebbero essere presenti anche in strada, nelle aree di parcheggio incustodite, sulle colonnine per pagare gli autobus o la bici a noleggio. I QR Code fraudolenti potrebbero trovarsi anche stampati su falsi buoni sconto o volantini pubblicitari per l’acquisto di brand famosi.

Si raccomanda sempre di porre particolare attenzione alle fonti da cui provengono informazioni, messaggi e comunicazioni personali, allegati o codici QR, poiché si ricorda che i motori di ricerca utilizzati durante la navigazione su cellulare, spesso non impiegano le stesse tecniche di sicurezza dei browser desktop, e questo aumenta considerevolmente il livello del rischio.

Si ribadisce inoltre che il primo vettore di attacco in un ambiente aziendale per le truffe che puntano ai QR Code, è certamente la mail, che può contenere un codice QR di un sito compromesso o del tutto falso, proprio come avviene con le casistiche di phishing.

Attualmente purtroppo la maggior parte delle soluzioni di controllo e antivirus della posta elettronica non sono in grado di limitare o bloccare del tutto l’invio dei codici QR, pertanto si consiglia come sempre prudenza.

Pensa prima di inquadrare e di cliccare!

#ThinkB4UClick

Articolo a cura del Team Governance, Risk and Compliance
Consulthink S.p.A.
info@consulthink.it

Recent posts
Cyber Insurance: pro e contro di un fenomeno in continua evoluzione
Approccio storico alla Progettazione del Software e alla Sicurezza Informatica
Previous post L’Automotive del futuro: sicurezza informatica e normative
Next post Rustware Part 1: Shellcode Process Injection Development
Ultime News
Cyber Insurance: pro e contro di un fenomeno in continua evoluzione
20 Ottobre 2023
Approccio storico alla Progettazione del Software e alla Sicurezza Informatica
20 Ottobre 2023
L’utilizzo dei dati nell’era dei social media: tra opportunità e rischi
20 Ottobre 2023
Equilibrio tra Innovazione e Sicurezza: la Sfida della Regolamentazione AI
20 Ottobre 2023
Consulthink e Lutech insieme
20 Ottobre 2023