Quishing – l’ultima frontiera del phishing

I codici QR sono diventati molto popolari negli ultimi anni e possono essere utilizzati per molti scopi. I criminali informatici li sfruttano per indurre gli utenti a condividere una varietà di informazioni personali, come credenziali e dati finanziari. Con l'aumento degli attacchi di "quishing", è importante sapere come proteggersi.

Oggi la maggior parte delle persone sa quanto sia importante evitare di cliccare su link provenienti da numeri o e-mail sconosciuti. Abbiamo imparato a fare attenzione quando condividiamo informazioni personali o finanziarie e conosciamo i rischi del phishing e dello smishing. Tuttavia, man mano che la cybersicurezza migliora, i cybercriminali trovano nuovi modi per ingannarci. Una minaccia in crescita è il "quishing," che utilizza i codici QR per truffare le persone.

 

Cos'è un codice QR?
Chiunque possieda uno smartphone ha visto un codice QR. Queste griglie in bianco e nero memorizzano informazioni, come link a siti web, e sono utilizzate ovunque: nei menu dei ristoranti, sui biglietti, negli annunci pubblicitari e molto altro. I codici QR sono diventati ancora più popolari durante il COVID-19, aiutando con i certificati vaccinali, i pagamenti contactless e la raccolta di informazioni sui clienti. Purtroppo, i cybercriminali ora usano i codici QR per rubare dati personali tramite truffe chiamate "quishing," spesso inserendoli nelle email.

 

Che cos’è il quishing?
Il termine "quishing" deriva dalla combinazione di "QR code" e "phishing." Come il phishing, utilizza e-mail false per ingannare le persone, ma invece di link diretti, include codici QR. Scansionando questi codici, le vittime vengono indirizzate a siti web falsi dove inseriscono dati personali o finanziari, oppure scaricano malware sul proprio dispositivo. Le e-mail di quishing spesso sembrano provenire da aziende affidabili, come servizi di consegna o rivenditori e, poiché i codici QR sono solo immagini, sono più difficili da rilevare per i sistemi di sicurezza delle e-mail, rendendo queste truffe ancora più efficaci.

 

Perché preoccuparsi?
Le truffe di quishing sono in aumento. Gli hacker utilizzano codici QR per colpire dispositivi mobili, che spesso hanno protezioni contro il phishing più deboli rispetto ai computer. Dal momento che i codici QR sono diventati comuni durante il COVID-19, è più difficile distinguere quelli reali da quelli falsi. Gli hacker rendono le loro truffe molto simili a comunicazioni autentiche, spesso fingendo di essere dipartimenti aziendali, come le risorse umane, per ingannare i dipendenti e ottenere informazioni sensibili.

Un attacco recente ha preso di mira una grande azienda agricola con oltre 16.000 dipendenti. I truffatori hanno inviato e-mail fingendo di essere il dipartimento risorse umane, sostenendo di condividere informazioni sullo stipendio. Le e-mail includevano un codice QR che reindirizzava a una falsa pagina di accesso a SharePoint progettata per rubare le credenziali dei dipendenti.

In un altro caso, oltre 1.000 e-mail false hanno colpito un’importante azienda energetica statunitense, chiedendo agli utenti di scansionare codici QR per "mettere in sicurezza il proprio account." I codici reindirizzavano a false pagine di accesso Microsoft per rubare le credenziali, inoltre nelle e-mail veniva utilizzato un linguaggio urgente come "dovete agire entro 72 ore" per mettere pressione alle vittime.

Poiché i codici QR sono più difficili da rilevare per i sistemi di sicurezza automatizzati, la consapevolezza è spesso la prima linea di difesa. Anche un solo dipendente che cade in una truffa può causare danni significativi, sia finanziari che di reputazione, a un’azienda.

 

Come proteggersi?

  • Faccia attenzione: valuti sempre criticamente le e-mail, soprattutto quelle contenenti codici QR.
  • Controlli il mittente: osservi attentamente l’indirizzo e-mail del mittente. Anche se gli scammer possono impersonare organizzazioni legittime, spesso i loro indirizzi e-mail contengono caratteri casuali o domini insoliti.
  • Attenzione alla grammatica: le comunicazioni ufficiali sono generalmente ben scritte. Faccia caso a errori di ortografia, punteggiatura strana o linguaggio poco curato.
  • Occhio al senso di urgenza: i truffatori creano spesso un senso di urgenza per indurre le vittime ad agire senza riflettere. Se ha dubbi, contatti direttamente l’azienda per verificare il messaggio.
  • Faccia attenzione alle informazioni richieste: se un’e-mail o un codice QR le chiede informazioni eccessive, lo tratti come sospetto.
  • Mantenga i dispositivi aggiornati: aggiornare i dispositivi garantisce di beneficiare delle ultime funzionalità di sicurezza, riducendo il rischio di cadere vittima di attacchi dannosi.