Quante volte ci è capitato di usare un codice QR per iscriverci a una newsletter, per leggere la programmazione di un cinema o magari semplicemente per accedere al menu di un ristorante? Dall’avvento della pandemia si sono moltiplicate le occasioni di utilizzo dei codici QR, grazie ai quali è possibile ottenere informazioni senza alcun contatto fisico; ma è proprio in virtù di tale diffusione che i criminali informatici hanno trovato uno strumento in più, efficace e temibilissimo, per sferrare i loro attacchi.
Il report trimestrale di Cisco Talos, azienda specializzata in cybersecurity, rivela che nel corso del 2023 è stato registrato un aumento significativo di attacchi phishing tramite la scansione di codici QR. Cisco Talos ha dovuto gestire una campagna di phishing che induceva le vittime a scansionare dei codici QR dannosi incorporati nelle e-mail, e che portavano i malcapitati all’esecuzione inconsapevole di malware.
Un altro tipo di attacco è invece l’invio di e-mail di spear-phishing a una persona fisica o a un’organizzazione, mail contenenti codici QR che puntavano a false pagine di accesso a Microsoft Office 365 al fine di rubare le credenziali di accesso dell’utente.
È importante sottolineare che gli attacchi tramite codice QR sono particolarmente pericolosi, poiché utilizzano come vettore di attacco il dispositivo mobile della vittima, molto spesso dotato di minore protezione.
Come funzionano gli attacchi tramite codici QR
Un attacco di phishing tradizionale prevede che la vittima apra un link o un allegato in modo da atterrare su una pagina controllata dall’aggressore. Di solito sono messaggi destinati a persone che hanno familiarità con l’utilizzo della posta elettronica e che normalmente aprono allegati o cliccano su un link.
Nel caso di attacchi tramite codice QR, il cybercriminale inserisce il codice nel corpo dell’e-mail con l’obiettivo di farlo scansionare tramite un’applicazione o tramite la fotocamera del dispositivo mobile. Una volta cliccato sul link malevolo, si apre una pagina di login sviluppata appositamente per rubare le credenziali, o un allegato che installa un malware sul dispositivo.
Perché sono pericolosi
Molti computer e dispositivi aziendali sono dotati di strumenti di sicurezza integrati, progettati per rilevare il phishing e impedire agli utenti di aprire link dannosi. Tuttavia, quando un utente utilizza un dispositivo personale, questi strumenti di difesa non sono più efficaci. Ciò accade perché i sistemi di sicurezza aziendali e di monitoraggio hanno meno controllo e visibilità sui dispositivi personali. Inoltre non tutte le soluzioni di sicurezza per la posta elettronica sono in grado di rilevare i codici QR dannosi.
Ma c’è di più. Con l’aumento del lavoro a distanza, un sempre maggior numero di dipendenti accede alle informazioni aziendali attraverso i dispositivi mobili. Secondo il report Not (Cyber) Safe for Work 2023, un’indagine quantitativa condotta dalla società di cybersecurity Agency, il 97% degli intervistati accede agli account di lavoro utilizzando dispositivi personali.
Come difendersi
Kaspersky spiega che nessun sistema di autenticazione legittimo suggerisce mai la scansione di un codice QR come unica opzione. Pertanto, se si riceve una e-mail che chiede di confermare qualcosa o di accedere nuovamente al proprio account, oppure di reimpostare la password o di eseguire altre operazioni simili, e se per farlo abbiamo a disposizione solo un codice QR, probabilmente abbiamo a che fare con un tentativo di phishing: è possibile tranquillamente ignorare ed eliminare l’e-mail.
Per difendersi dagli attacchi di phishing basati sui codici QR, le aziende possono implementare una piattaforma di gestione dei dispositivi mobili (MDM) o uno strumento di sicurezza mobile come, ad esempio, Cisco Umbrella, su tutti i dispositivi mobili non gestiti che hanno accesso alle informazioni aziendali.
La formazione degli utenti è fondamentale: le aziende devono assicurarsi che tutti i dipendenti siano istruiti sui pericoli degli attacchi di phishing e sul crescente utilizzo dei codici QR:
- I codici QR dannosi utilizzano spesso un’immagine di scarsa qualità o possono apparire leggermente sfocati.
- Gli scanner di codici QR spesso forniscono un’anteprima del link a cui punta il codice, è molto importante prestare attenzione e visitare solo pagine web affidabili con URL riconoscibili.
- Le e-mail di phishing contengono spesso errori di battitura o grammaticali.
PEr ulteriori consigli su come proteggersi dalle truffe con codice QR su iPhone e Android rimandiamo a questo articolo. Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.
