Nel mondo in continua evoluzione del cybercrime, gli attori malevoli trovano costantemente nuove strade per sfruttare a proprio vantaggio le tecnologie moderne. I codici QR, un tempo apparentemente innocui, sono ora diventati l’ultimo strumento nell’arsenale degli hacker, inaugurando una nuova era per gli attacchi di phishing. Ed eccoci catapultati nell'era del "quishing".
Differenza tra phishing e quishing
Il phishing, termine che ha avuto eco nel panorama della sicurezza informatica, è una forma di ingegneria sociale che attori senza scrupoli impiegano per manipolare gli individui inducendoli a rivelare informazioni sensibili, come nomi utente, password o persino a installare software dannoso. Le sue varie iterazioni si sono adattate nel corso degli anni e l'ultima incarnazione utilizza codici QR. Da qui deriva il quishing.
Se la società dietro il QR code avesse motivazioni nefande, la scansione porterebbe al download automatico del ransomware sul proprio smartphone. Questo è esattamente ciò che comporta il quishing con cui, in sostanza, si cerca di ingannare gli individui inducendoli a credere che qualcosa sia benigno o essenziale, quando in realtà nasconde intenti sinistri. L'obiettivo finale: accedere alle informazioni personali, rubare le credenziali del conto bancario e altro ancora.
Perché il quishing costituisce una minaccia
I QR code si sono infiltrati in ogni aspetto della nostra vita e per questo li abbiamo accettati ampiamente ritrovandoli in ristoranti, trasporti pubblici, pubblicità, e persino confezioni di prodotti. Sviluppando anche una sorta di fiducia nel contenuto, impenetrabile a occhio nudo, che si nasconde dietro alla scacchiera di puntini bianchi e neri.
I criminali informatici dal canto loro sono profondamente consapevoli del fatto che la maggior parte dei consumatori presuppone che siano innocui. Inoltre, gli utenti di telefonia mobile rappresentano il target ideale. Perché a differenza dei sistemi operativi desktop, non includono la protezione dal phishing.
Al momento, la maggior parte degli attacchi quishing coinvolge i criminali informatici che inviano codici QR tramite e-mail. In genere, queste mail si mascherano con richieste urgenti di verifica dell'account, avvisando i destinatari dell'imminente blocco se non agiscono tempestivamente.
L'idea è semplice: un individuo visualizza il QR code nella mail dal desktop e lo scansiona con il telefono, dando libero accesso al dispositivo a cui ogni giorno affida informazioni personali, tra cui quelle conservate nelle app bancarie.
Tuttavia, il potenziale sfruttamento dei codici QR si estende oltre la posta elettronica. Nulla impedisce a un criminale informatico di apporre questi codici negli spazi pubblici, contando sulla curiosità dei passanti.
Cosa fare per proteggersi dal quishing
L’approccio più semplice è astenersi dalla scansione dei codici QR, in particolare quelli provenienti da fonti non verificate. Scansionare un codice QR solo dopo averne convalidato la fonte e, anche in questo caso, è bene farlo con parsimonia e solo quando assolutamente necessario.
Se si riceve un'e-mail contenente un codice QR, il primo passo dovrebbe essere quello di verificare l'autenticità del mittente. Se la mail sembra provenire dall'azienda X, ma l'indirizzo del mittente appare sospetto o non correlato, è molto probabile che si tratti di un tentativo di quishing.
In generale, i codici QR nelle e-mail dovrebbero essere accolti con scetticismo. Le aziende legittime solitamente forniscono istruzioni chiare per qualsiasi azione necessaria e raramente richiedono di verificare l’account tramite un QR code. Per quanto riguarda quelli sparsi per il mondo, è meglio non cedere alla tentazione.
Anche se è possibile configurare le opzioni di sicurezza all'interno dell'app per la scansione dei QR code sul proprio smartphone. Ad esempio, si può richiedere di visualizzare l'indirizzo web completo prima di confermare qualsiasi azione. Questa procedura può rallentare l'utilizzo, ma naturalmente la sicurezza dell'utente ne trae vantaggio.
Per saperne di più: Sicurezza informatica, guida alla navigazione sicura sul web