I quick-response codes, noti più semplicemente come QR code, a partire dal 2000 si sono sempre più diffusi a livello globale. Con i moderni smartphone, dotati di fotocamere e sistemi per la lettura di tali codici, la loro popolarità si è ulteriormente impennata nel corso degli ultimi anni.
Stiamo parlando di un insieme apparentemente incomprensibile di pixel all’interno di un’area quadrata che, se scansionato da un apposito lettore, può fornire informazioni (come l’indirizzo di un sito Web).
Questa tecnologia offre sì una comodità notevole ma anche alcuni enormi pericoli a livello di sicurezza e privacy. Secondo Trustwave, infatti, questi possono essere sfruttati per diffondere malware, soprattutto con attacchi di tipo Qishing (detti anche Quishing).
Stando a un rapporto della suddetta azienda, infatti, nel 2023 gli attacchi di questo tipo hanno visto un’impennata considerevole.
Karl Sigler, responsabile senior della ricerca sulla sicurezza presso Trustwave SpiderLabs, ha dichiarato come la pandemia e la conseguente necessità di evitare contatti, ha incrementato questo rischio. Basti pensare ai menu dei ristoranti che, in modo sempre più diffuso, permettono di ordinare le pietanze attraverso i QR code.
QR code e qishing: un pericolo da non sottovalutare
Sebbene gli attacchi qishing possano verificarsi ovunque vengano utilizzati i QR code, Trustwave ha osservato un aumento in una nuova campagna di attacchi particolarmente subdola.
“La novità della campagna è una combinazione di QR code incorporati in normali e-mail di phishing e attacchi di acquisizione di credenziali basati su falsi messaggi MFA (ndr. autenticazione a più fattori), che è un’altra tecnologia che vede un’adozione più ampia a causa dei cambiamenti nel lavoro remoto“, ha affermato Sigler.
Con le richieste MFA, un utente può potenzialmente ricevere un messaggio SMS, un’app sicura o tramite posta elettronica. Gli attacchi qishing osservati da Trustwave inviano un QR code via e-mail, che la vittima è invitata a scansionare per ottenere l’accesso al servizio protetto da MFA. La realtà è che il codice in questione non indirizza la vittima verso la destinazione che l’utente si aspetta, ma la invia invece a una pagina di phishing.
Trustwave ha osservato che in alcuni casi gli attacchi qishing prendono di mira organizzazioni specifiche con modelli personalizzati progettati per assomigliare a richieste di verifica legittime. Tutto ciò rende molto difficile contrastare questo fenomeno.
Come difendersi dagli attacchi qishing
Alcune forme di difesa come firewall e filtraggio degli indirizzi Web, sono del tutto inutili contro questa minaccia.
Secondo Siegler “Sebbene il filtraggio di un URL e l’antimalware siano utili con malware noti e server Web dannosi, non aiutano in molti di questi casi; ad esempio, quando all’utente viene richiesto di fornire credenziali a un utente malintenzionato“. Come fare dunque per evitare tali attacchi?
Innanzitutto, Sigler suggerisce alle organizzazioni di diffidare dei QR code in determinate situazioni “Non riesco a pensare a un unico motivo valido per cui un QR code dovrebbe essere incorporato in un’e-mail al di fuori potenzialmente di una firma e-mail“.
L’esperto ha infine concluso affermando come sia importante evitare la scansione del codice quando arriva tramite e-mail, anche se il mittente ti chiede specificamente di compiere questa azione.