Quishing: Frode con codici QR

I codici QR sono diventati parte integrante della nostra quotidianità. Li trovate ad esempio nelle e-mail, nelle lettere o nella vita pubblica. Attualmente i cybercriminali utilizzano questi codici QR per gli attacchi di phishing. Questa minaccia è nota con il termine di «quishing».

Il quishing è uno stratagemma utilizzato dai criminali soprattutto su Internet. Il termine nasce dall’unione di due parole: codice QR e phishing . 

Le e-mail di quishing contengono di norma un invito ad agire urgentemente, ad esempio: «Scansioni subito questo codice QR per aggiornare le sue informazioni personali e la password, altrimenti il suo conto bancario sarà bloccato». Diversamente dal phishing, tuttavia, ciò non avviene tramite un link, bensì attraverso la scansione di un codice QR con lo smartphone. In linea di principio, il quishing è una forma di phishing.

Che cos’è un attacco di phishing?

Il termine phishing  è composto dalle parole anglo-americane «fishing» (pescare) e «phreaking» (hackerare). Con un attacco di phishing i cybercriminali tentano di appropriarsi di dati sensibili come password, dati di carte di credito o di debito, numeri di telefono o altri dati personali di privati o aziende. Gli hacker procedono con grande abilità, anche facendo delle telefonate o utilizzando uno dei seguenti canali:

• le e-mail
• SMS
• Social media (WhatApp, Instagram, Facebook Messenger ecc.)
• Siti web

Spesso i criminali contattano le loro vittime via e-mail . Le e-mail falsificate sembrano realistiche (ad es. banche, servizi di logistica, ecc.) perché, oltre al mittente, viene imitato anche il wording e il layout di vere aziende.

Ad esempio, i truffatori chiedono ai destinatari di aggiornare i loro dati di login bancari. Se non lo fanno subito, rischiano il blocco del loro conto. Spesso vengono date ragioni pretestuose, come ad esempio la garanzia della sicurezza del conto. All’interno dell’e-mail è riportato un link su cui i destinatari devono cliccare giungendo così alla pagina web fraudolenta, dove vengono invitati a inserire i propri dati di login bancari. Ciò che i destinatari non sanno ancora è che il portale non è quello della loro banca, bensì quello allestito dai cybercriminali che, con questa truffa, entrano in possesso dei dati di login ottenendo così l’accesso all’avere bancario delle loro vittime. Questo è solo uno dei tanti esempi.

Come funziona il QR-phishing?

Con il quishing vengono offerti codici QR dannosi, spesso sulle carte dei menu nei ristoranti o come mezzo di pagamento. A occhio nudo non possono essere identificati come dannosi. La scansione porta a una pagina errata, dove solitamente viene richiesto di immettere i dati di pagamento . Spesso le vittime hanno fretta, vogliono pagare o sbrigare rapidamente qualcosa e non hanno tempo di verificare l’autenticità della pagina.

Quasi sempre i criminali utilizzano anche il social engineering per instaurare un rapporto di fiducia con la vittima. Non appena i criminali hanno indotto il destinatario a scansionare il codice QR con lo smartphone, ad esempio per vincere un gioco d’azzardo, giungono a una pagina di phishing.

Per poter accedere a questo presunto guadagno, i truffatori chiedono a questo punto informazioni personali quali nome & cognome, indirizzo, indirizzo e-mail, data di nascita e dati della carta di credito. In alcuni casi, in questo modo si ottengono anche i dati di accesso di determinati account Internet delle e degli utenti. Se la vittima ha rivelato tutte le informazioni sensibili, i cybercriminali le utilizzano ad esempio per:

• attacchi ransomware
• truffa d’identità
• frode finanziaria

Il quishing è chiaramente più difficile da individuare e bloccare rispetto al normale phishing. Invece di un link direttamente incorporato nel testo del messaggio, che può essere individuato più facilmente dai programmi di protezione IT, un attacco di quishing punta su codici QR, che vengono letti dai programmi di sicurezza solo come immagini e quindi non vengono riconosciuti come rischiosi. In questo modo le e-mail di quishing, nonostante la protezione di sicurezza, finiscono nella vostra casella di posta elettronica, dove sono più difficili da smascherare anche per l’occhio umano poiché l’URL non è direttamente visibile.

Come si fa a riconoscere un attacco di quishing?

Esistono diversi metodiper individuare un attacco di quishing. Tra questi:

• Esaminare attentamente il mittente  Le e-mail di phishing e quishing spesso utilizzano copie contraffatte degli indirizzi e-mail dell’azienda che sostengono di essere. A volte i nomi degli indirizzi e-mail non hanno alcuna relazione con il nome dell’azienda, il che è chiaramente sospetto. Controllate se l’indirizzo e-mail corrisponde all’azienda e assicuratevi che non contenga errori di ortografia o zeri al posto delle O. Siate cauti nei confronti di tutte le e-mail che ricevete.
• Verificare il testo In genere le e-mail di phishing e quishing mirano a manipolarel’utenza con determinati metodi. Di solito i messaggi di testo inducono a reagire con urgenza, massimizzando così il successo dell’attacco. Spesso si ricorre anche all’intelligenza artificiale, ad esempio per copiare lo stile di scrittura di una determinata azienda. Per questo motivo, soprattutto nei confronti delle e-mail che vi invitano ad agire immediatamente, dovreste usare particolare prudenza.
• Controllare il codice QR Spesso i codici QR vengono allegati alle e-mail, ad es. a una fattura o come immagine. Verificate che i codici QR non presentino anomalie: manca ad es. il logo del branding, ci sono degli errori o la posizione dell’immagine è insolita? In caso di dubbio, potete anche provare a vedere dove porta il link utilizzando la modalità di anteprima del vostro telefono. Per farlo, tenete la fotocamera sopra il codice QR e guardate il link che si trova nella parte inferiore dello schermo, ma non cliccatelo!

Quest’anno, a nome di una banca elvetica, dei criminali hanno inviato una lettera con un codice QR a migliaia di famiglie in Svizzera. È stato poi richiesto, apparentemente per motivi di sicurezza, di scansionare con urgenza il codice per riattivare PhotoTan; in caso contrario, l’online banking sarebbe stato bloccato. Le vittime ignare hanno scansionato il codice QR, trovato un sito web falso con il design della banca e inserito i dati di login per l’online banking. L’inserimento del login completo della banca ha comportato ingenti perdite finanziarie – di norma le banche declinano qualsiasi responsabilità per danni simili, poiché i loro meccanismi di sicurezza in realtà funzionavano. Attraverso la manipolazione dei criminali le vittime sono state indirizzate verso siti estranei alle banche.

La truffa con il codice QR è una minaccia reale a cui sono esposti sia i privati che aziende. Attenendovi alle misure precauzionali menzionate e informandovi regolarmente sulle nuove truffe potrete arginare il rischio di cadere vittima del quishing.