- Banche e autorità di regolamentazione hanno messo in guardia dal rischio crescente di quishing
- Un tipo di phishing che utilizza codici QR fraudolenti per rubare informazioni.
- Questi link dannosi non sono facilmente riconoscibili dagli utenti o dagli scanner di posta elettronica.
Non si tratta solo di link sospetti da tenere d'occhio nella casella di posta elettronica: il phishing con codice QR, noto anche come "quishing", sta diventando una minaccia sempre più diffusa. I codici fraudolenti sono progettati per eludere i sistemi di sicurezza e indurre le vittime a fornire informazioni finanziarie sensibili.
Diversi istituti bancari britannici, insieme al National Cyber Security Centre del Regno Unito e alla Federal Trade Commission degli Stati Uniti, hanno recentemente avvertito sui pericoli di queste truffe di quishing, che si stanno facendo sempre più sofisticate.
In un attacco di quishing, un codice QR viene solitamente inviato come allegato a un'e-mail, che appare provenire da una fonte affidabile, come una banca. Quando il codice viene scansionato, l'utente viene indirizzato a un link dannoso, che solitamente richiede l'invio di dati personali. In alcuni casi, il codice potrebbe anche tentare di installare malware o di acquisire un token MFA per aggirare i sistemi di autenticazione.
Inoltre, gli attacchi di quishing si sono estesi anche al mondo fisico. All'inizio di quest'anno, il RAC ha messo in guardia gli automobilisti contro codici QR fraudolenti applicati sulle macchine per il parcheggio. Scansionando questi codici, gli utenti vengono indirizzati a siti web progettati per rubare dati e informazioni di pagamento da chi crede di stare pagando per il parcheggio.
Questi attacchi sono aumentati dopo la pandemia, quando l'uso dei codici QR è diventato più comune. Utilizzati come strumento per un accesso facile e senza mani a tutto, dai menu ai moduli medici, i codici QR sono diventati un metodo familiare e apparentemente sicuro per ottenere informazioni e servizi.
L'ennesima truffa
Come nelle tradizionali truffe di phishing, il quishing cerca di farvi credere che il link provenga da una fonte affidabile. Di solito, l'e-mail sembra essere inviata da una banca o da un provider di posta elettronica, chiedendovi di confermare i vostri dati per "proteggere" il vostro account. La truffa utilizza un sito web falso che imita quello reale, inducendovi a credere che sia legittimo.
Poiché il contenuto di un codice QR non è immediatamente visibile a occhio nudo, è difficile verificarne la legittimità. Inoltre, questi codici spesso sfuggono agli strumenti di sicurezza informatica, che non sono facilmente in grado di stabilire se un codice allegato sia autentico.
I truffatori continuano a perfezionare le loro tecniche per eludere i sistemi di sicurezza. Oltre a dirottare account di posta elettronica legittimi, alcune truffe con codice QR sfruttano informazioni personali reperite su siti come LinkedIn per personalizzare le e-mail, facendole sembrare più rilevanti per un singolo individuo. Inoltre, il reindirizzamento tramite domini diversi viene spesso utilizzato per far passare gli utenti attraverso più URL, impedendo agli scanner di e-mail di rilevare il vero link dannoso dietro il codice QR.
Una variante di questa truffa, descritta in un rapporto di Perception Point, porta gli utenti su me-QR.com, un sito legittimo per la creazione di codici QR. Una volta lì, il servizio scansiona un secondo codice QR, che reindirizza a una pagina dannosa ospitata su SharePoint, la piattaforma di collaborazione web di Microsoft.
Abbiamo approfondito l'evoluzione degli attacchi di phishing e su come proteggersi dalle minacce del quishing. Nel mese di maggio, McAfee, azienda leader nella sicurezza informatica, ha condotto un'indagine che ha rivelato che oltre il 20% delle truffe online nel Regno Unito potrebbe coinvolgere codici QR. Con le preoccupazioni sollevate da istituti bancari e autorità di regolamentazione, il quishing si sta configurando come la prossima grande minaccia nel panorama delle truffe online.
