Gli attacchi di phishing basati su codici QR sembrano essere in aumento. Per questo “nuovo” vettore di hacking, qualcuno riceve un’e-mail di phishing che gli chiede di scansionare un codice QR, quel codice reindirizza a un collegamento dannoso (di solito per rubare le credenziali) e si verifica una violazione dell’account. Le testate giornalistiche locali lo hanno fatto ha avvertito il pubblico a cui prestare attenzione, pubblicazioni sulla leadership della sicurezza dire ai dirigenti di stare attenti e società di sicurezza Veramente, Veramente Volere Voi A chiamalo quishing.
Ad essere onesti, ultimamente ci sono stati alcuni titoli degni di nota a riguardo. Una versione su larga scala di questo attacco contro una “grande” compagnia energetica statunitense senza nome ha perseguito gli accessi di Microsoft, Secondo un rapporto del Cofense in agosto. I ricercatori sulla sicurezza hanno riferito all’unanimità un certo livello di aumento o picco nel vettore di attacco quest’anno. Persino il La Federal Trade Commission ha avvertito i consumatori dei pericoli.
Il clamore attorno a questi attacchi, tuttavia, supera di gran lunga la minaccia dell’utilizzo dei codici QR nella vita quotidiana. Il phishing è stato, e probabilmente sarà sempre, un modo diffuso per intrappolare le vittime e ciò che vediamo quando le persone parlano di attacchi con codici QR è solo un altro modo per farlo. Ecco perché, nonostante i rapporti possano generalizzare i pericoli dei codici QR nel loro complesso, alcune pratiche di sicurezza basate sul buon senso che già utilizzi per evitare il phishing possono aiutarti a evitare anche questa tattica. Altri vettori di attacco avanzati basati su QR, al di fuori del phishing, sono probabilmente troppo complicati dal punto di vista tecnico e con una ricompensa bassa per essere tentati da malintenzionati o di cui preoccuparsi.
Attacchi di phishing che funzionano indirizzando una vittima a un collegamento dannoso sono incredibilmente comuni e i codici QR sono essenzialmente solo un altro modo per eseguirli. I codici QR stanno “colmando una lacuna nella sicurezza”, ha affermato Randy Pargman, direttore del rilevamento delle minacce presso la società di sicurezza Proofpoint. Costringe la vittima ad allontanarsi dal proprio computer e a collegarla a un telefono cellulare o a un altro dispositivo, aggiungendo un livello di distrazione. Inoltre, è più probabile che le persone cadano in un collegamento di phishing su un dispositivo mobilesecondo Pargman.
La scala più piccola rende più difficile stabilire cosa sia legittimo, ad esempio non è possibile vedere facilmente un collegamento completo per evidenziare discrepanze e generalmente tendiamo a sentirci più sicuri nel nostro mondo portatile. La scansione di un codice QR su un telefono allontana la vittima dal proprio computer. Ciò potrebbe significare che sul suo browser sono installati meno plug-in di sicurezza che ti avvisano di stare lontano da siti sospetti, sebbene più browser dispongano di protezioni automatiche contro entrambi. Oppure, se ti stai trasferendo da un dispositivo di lavoro a un dispositivo personale, un team di sicurezza probabilmente supporta il computer, ma non il tuo cellulare, con protezioni aggiuntive per impedirti di cadere vittima. Ma d’altro canto, questo è molto meno efficiente da impostare per i truffatori. Si presuppone che la vittima abbia accesso a due dispositivi, anziché semplicemente fare clic su un collegamento.
Inoltre, le persone tendono a scansionare i codici QR, anche se provengono da una fonte sconosciuta, perché ci siamo abituati, secondo Fae Carlisle, principale ingegnere della sicurezza presso la società di sicurezza informatica Carbon Black. “Alle persone viene regolarmente detto di scansionare un codice QR per mostrare loro la mappa di un luogo, per votare in un concorso, per visitare Instagram, ecc.”, ha detto Carlisle. “A causa della fiducia intrinseca, le persone lo accettano.” Apparentemente gli hacker hanno notato questa tendenza e hanno capito di poterla sfruttare.
Sebbene l’applicazione dei codici QR agli attacchi di phishing sia abbastanza semplice, l’hype sul loro utilizzo in altri vettori dannosi finisce per lo più qui. I professionisti della sicurezza sconsigliano allo stesso modo di scansionare codici QR sconosciuti non dovresti collegare una pen drive casuale al tuo dispositivo. Ma, anche se dovresti sempre stare in guardia per proteggerti dagli attacchi di phishing, non devi preoccuparti di usare i codici QR nella tua vita quotidiana perché è ancora raro vederli usati come tattica di hacking.
Questo è importante perché quando pensiamo ai codici QR, di solito non pensiamo a riceverli via e-mail. Probabilmente li conosci meglio dalle interazioni del mondo reale, come un invito all’azione su un volantino o un menu scansionato per ordinare in un ristorante. Osservando la mia casella di posta e il mio desktop, i casi in cui ottengo un codice QR sono pochi e rari, con forse l’eccezione di alcune app di autenticazione a più fattori e dell’accesso incrociato per le VPN. Fondamentalmente, per un hacker che persegue obiettivi quotidiani, meno sforzo è, meglio è, e incollare un codice QR avvelenato in tutto lo spazio fisico nella speranza che qualcuno lo scannerizzi è un sacco di lavoro, secondo Pargman. L’invio in blocco di e-mail di phishing è molto più efficiente.
Sebbene sia anche possibile immaginare una situazione di link takeover, in cui la destinazione dei codici QR legittimi viene reindirizzata a un URL dannoso, ciò in realtà non è ancora stato visto. Non solo è un grande sforzo, ma richiederebbe a un utente malintenzionato di identificare un codice QR ampiamente utilizzato. Ciò significherebbe reperire le informazioni sul codice e poi sperare che ne valga la pena. “Quishing” può essere legittimo, ma evitare i codici QR a tutti i costi probabilmente è un passo eccessivo.
Se qualcosa sembra strano durante la scansione di un codice QR, fai una pausa prima di procedere. “Se stai scansionando il menu di un ristorante e ti viene chiesto di accedere al tuo account Gmail per accedere al menu, si tratta di un passaggio altamente inaspettato”, ha affermato Olesia Klevchuk, direttore marketing del prodotto presso la società di sicurezza Barracuda Networks. “Questo è il tipo di cose a cui vogliamo prestare attenzione.” Ma se solo lo desideri saperne di più su una mostra in un museo o avere un check-in contactless in palestraprobabilmente non hai nulla di cui preoccuparti.
