Una nuova minaccia informatica è apparsa nel mondo del cybercrime. Si tratta del Quishing, termine derivato dalla combinazione di “phishing” e “QR Code”, e rappresenta un nuovo tipo di attacco da parte dei criminali informatici.
I truffatori possono creare QR Code falsi che, quando vengono scansionati, portano gli utenti a siti web dannosi o che richiedono l’inserimento di informazioni personali sensibili che poi vengono prontamente rubati.
Prima, però, di entrare nel dettaglio del quishing, spieghiamo cosa sono i Qr Code.
Cos’è il Qr Code
Il QR Code, acronimo di Quick Response Code, è una forma di codice a barre bidimensionale, composto da moduli neri su sfondo bianco, che può essere letto rapidamente da un dispositivo ottico, come una fotocamera di uno smartphone.
L’utilizzo principale dei codici QR è fornire un modo efficiente per archiviare e scambiare informazioni. Quando un dispositivo legge il codice QR, può interpretare rapidamente il contenuto e eseguire azioni specifiche, come aprire un sito web, visualizzare un messaggio, o aggiungere contatti.
I codici possono contenere una varietà di informazioni come link web, testo, numeri di telefono, biglietti, etc. I Qr code sono diventati parte della nostra vita quotidiana, presenti diffusamente in ristoranti, mezzi di trasporto pubblici, pubblicità e persino sulle confezioni dei prodotti e anche per accedere ai servizi con le PA. Questo diffuso utilizzo ha instillato una sorta di fiducia nel loro contenuto, poiché l’informazione che si cela dietro la griglia di punti bianchi e neri appare impenetrabile a occhio nudo.
Gli hacker stanno così sfruttando la diffusa abitudine degli utenti di scannerizzare i codici QR quotidianamente per truffare le persone in modo più efficace.
Quishing: una nuova forma di Phishing
Per spiegare la nuova minaccia informatica dobbiamo partire da un concetto base: il quishing è una forma di phishing.
Il phishing è una forma di ingegneria sociale nel campo della sicurezza informatica, in cui attori malintenzionati manipolano le persone per ottenere informazioni sensibili, come password o per indurle a installare software dannoso. Nel corso degli anni, il phishing ha assunto varie forme e la sua ultima evoluzione è appunto il quishing.
L’obiettivo finale è comunque sempre lo stesso: ottenere accesso alle informazioni personali, rubare le credenziali bancarie o compiere altre azioni dannose.
Come funziona il quishing
Il processo di Quishing inizia con la creazione di un QR Code fraudolento. Creare un Qr Code di per sè è molto semplice e accessibile a chiunque tramite numerosi siti online. Inoltre, il formato immagine utilizzato rende difficile il rilevamento da parte degli antivirus.
Una volta che l’utente inquadra il codice con la fotocamera del suo smartphone, viene reindirizzato a un sito web malevolo. Qui, potrebbe essere chiesto di inserire informazioni sensibili o di consentire il download di malware che infetterà il dispositivo.
Attualmente, la maggior parte degli attacchi avviene attraverso criminali informatici che inviano codici QR attraverso e-mail. Queste e-mail, di solito, celano richieste urgenti di verifica dell’account, minacciando i destinatari con il blocco imminente se non agiscono prontamente.
Il quishing, però, può manifestarsi in diverse forme, tra cui l’utilizzo di malware tramite QR Code progettati per infettare il dispositivo della vittima durante la scansione del codice. Altre modalità includono la diffusione di pubblicità ingannevole attraverso QR Code presenti in annunci, i quali possono indirizzare gli utenti a siti fraudolenti che simulano offerte vantaggiose al fine di raccogliere informazioni sensibili o finanziarie.
Secondo una ricerca condotta da Harmony Email, il Quishing ha registrato un preoccupante aumento del 597%. Questo dato allarmante evidenzia come i criminali informatici stiano sempre più sfruttando i QR Code per le loro truffe, approfittando della fiducia che le persone hanno acquisito nei confronti di questi codici bidimensionali.
Come difendersi dal Quishing
Il fenomeno delle truffe tramite QR Code è in rapida crescita, con migliaia di attacchi verificatisi nei mesi recenti, secondo alcune aziende di cybersecurity. La Polizia postale avverte che per evitare di cadere in tali truffe, è fondamentale adottare le stesse pratiche di difesa utilizzate contro il phishing e lo smishing. In particolare, è consigliato verificare attentamente l’indirizzo di posta elettronica, poiché spesso il QR Code è inviato attraverso e-mail. Importante quindi fare caso agli Url abbreviati o diversi dal dominio ufficiale.
La regola generale è quella evitare di inserire dati personali su siti di cui non si è al sicuro al 100%. I QR Code generati da applicazioni sicure di solito non conducono a siti che richiedono credenziali di accesso o pagamento. L’importante è sempre
Ecco alcuni consigli pratici:
- Verificare la fonte: prima di scannerizzare un QR Code, assicurarsi che provenga da una fonte affidabile, specialmente se ricevuto tramite e-mail o messaggi.
- Evitare informazioni sensibili: evitare di inserire informazioni personali o finanziarie su siti raggiunti tramite QR Code, a meno che la loro autenticità sia al 100% garantita.
- Mantenere il software aggiornato: aggiornare regolarmente il software del dispositivo, inclusa l’applicazione per la scansione dei QR Code, per garantire la massima sicurezza.
- Essere cauti con offerte troppo allettanti: valutare attentamente la legittimità di QR Code che promettono offerte straordinarie e sospettare di situazioni che sembrano troppo vantaggiose.
- Configurare la Sicurezza della Posta Elettronica: Configurare opzioni di sicurezza all’interno dell’app per la scansione dei QR Code, ad esempio richiedendo la visualizzazione dell’indirizzo web completo prima di confermare qualsiasi azione.
Ma il rischio legato ai codici non si limita solo alla posta elettronica. Qr Code si posso anche trovare in spazi pubblici. In questo caso usare il buon senso è fondamentale.
L’approccio più sicuro è evitare la scansione dei codici QR, soprattutto quelli da fonti non verificate. Se necessario, scansionarlo solo dopo averne convalidato la fonte e farlo con cautela e solo quando assolutamente necessario.