Nell’attuale era digitale, i QR Code sono diventati parte integrante della nostra vita quotidiana. Vengono utilizzati in numerosi ambiti, dai pagamenti contactless ai menu digitali nei ristoranti. Questa diffusione ha attirato l’attenzione dei cybercriminali, che hanno trovato metodi per sfruttare la fiducia degli utenti. È in questo contesto che nasce il termine ‘quishing‘, una combinazione tra ‘QR Code’ e ‘phishing’, che descrive una nuova minaccia emergente nel panorama della sicurezza informatica. Questa tecnica ha lo scopo di ingannare gli utenti affinché rivelino informazioni personali, dati sensibili o credenziali di accesso.
Mentre gli attacchi di phishing tradizionali si diffondono solitamente attraverso email o messaggi di testo ingannevoli, il vettore di attacco utilizzato dal quishing è il QR Code, dato anche dall’elevato volume di utilizzo e dalla sua crescente popolarità.
QR Code è l’abbreviazione di “Quick Response Code” ed è un tipo di codice a barre a risposta rapida. Si tratta di un’immagine bidimensionale che può essere scansionata tramite l’utilizzo della fotocamera di uno smartphone o di un altro dispositivo compatibile. Questi codici sono costituiti da una matrice di quadratini neri e bianchi disposti su uno sfondo bianco, che può contenere informazioni come URL, testi, numeri di telefono, o altri dati, codificate in modo da poter essere lette rapidamente.
Come funziona un attacco?
Per mettere in pratica questo tipo di attacco, viene creato un codice QR che, una volta scansionato dalla vittima, può reindirizzarla verso un sito web malevolo che imita quello di un servizio effettivo, come una banca o un social network; verso un’applicazione che raccoglie informazioni personali; oppure, avviare il download di malware compromettendone la sicurezza e permettendo agli attaccanti di accedere a informazioni sensibili. Nei contesti in cui i codici QR vengono utilizzati per pagamenti online, il codice legittimo potrebbe essere sostituito con un codice malevolo, indirizzando quindi i pagamenti a conti bancari controllati dagli attaccanti.
Questi codici malevoli possono essere diffusi e distribuiti attraverso email, social media, siti web ingannevoli, materiale stampato o applicando adesivi su altri QR Code legittimi presenti in aree pubbliche.
Il quishing è particolarmente efficace perché le persone, ormai abituate a scansionare codici QR, tendono a fidarsi di questi strumenti senza pensarci troppo. Inoltre, a differenza dei tradizionali link, un codice QR non mostra immediatamente dove porterà, rendendo più difficile individuare potenziali pericoli. Infine, l’estrema diffusione di questi codici, offre numerose opportunità agli attaccanti che vogliono sfruttare questa tecnica.
Come proteggersi?
Per proteggersi da questi attacchi è necessaria una combinazione di consapevolezza, attenzione e utilizzo di strumenti di sicurezza:
- Evitare QR Code sospetti: scansionare solo codici QR provenienti da fonti sicure e ben contestualizzate. Evitare per esempio quelli trovati in luoghi pubblici o ricevuti via email sospette o da volantini
- Verifica degli URL: prima di inserire qualsiasi tipo di informazione richiesta, controllare la pagina web di atterraggio; se sospetta, se non corrisponde a quanto previsto o se il dominio contiene errori ortografici, evitare di procedere oltre
- Utilizzare App di sicurezza: installare applicazioni di sicurezza che analizzano i QR Code prima di aprirli, avvisando l’utente in merito a eventuali minacce
- Verificare il design del codice: alcuni QR Code potrebbero presentarsi con forme irregolari, blocchi di dati mancanti o moduli deformati, questi potrebbero essere segnali della loro non autenticità
- Aggiornamenti: mantenere il sistema operativo e i software di sicurezza del proprio smartphone sempre aggiornati, per rilevare e bloccare malware e tentativi di phishing
- Autenticazione a più fattori (MFA): per aggiungere ulteriori livelli di sicurezza e impedire accessi non autorizzati ai propri account
- Diffidare dalle richieste di informazioni sensibili: i QR Code legittimi non dovrebbero mai chiedere dati sensibili come password o dettagli delle carte di credito
- Verificare autenticità: se e quando è possibile, è consigliabile confermare l’autenticità dei codici QR attraverso fonti come il sito web ufficiale o i contatti dell’organizzazione da cui è stato emesso
- Educazione e Consapevolezza: informarsi e informare in merito ai pericoli legati ai codici QR e al quishing e insegnare agli utenti come riconoscere i campanelli di allarme, per contribuire a ridurre il rischio di cadere vittima di questi attacchi.
