Skip to main content

Con il maggiore livello di consapevolezza degli utenti riguardo ai pericoli del phishing online e l’efficacia dei browser moderni nel bloccare download dannosi, i criminali informatici stanno innovando le loro tattiche. Uno dei metodi più insidiosi emersi di recente è l’uso di QR code nei messaggi cartacei, un mezzo che sfrutta la fiducia degli utenti verso la corrispondenza tradizionale. 

 

Quishing: di cosa si tratta? 

Il Qhishing rappresenta una minaccia informatica in rapida crescita che sfrutta la popolarità dei codici QR. A differenza del tradizionale phishing che si basa su e-mail o messaggi, il Qhishing utilizza codici QR malevoli per reindirizzare le vittime verso siti web fraudolenti o per scaricare malware. 

 

Come funziona il Quishing? 

I cybercriminali creano codici QR appositamente progettati per sembrare legittimi, spesso integrati in materiali promozionali, e-mail, o persino cartelli fisici. Quando una vittima inquadra il codice con il proprio smartphone, viene automaticamente reindirizzata verso un sito web che imita l’aspetto di un sito autentico, come quello di una banca o di un servizio online. Una volta sul sito falso, l’utente potrebbe essere indotto a inserire informazioni sensibili, come credenziali di accesso o dati della carta di credito. 

 

Il caso svizzero

In Svizzera, gli attaccanti hanno distribuito falsi messaggi cartacei apparentemente provenienti dall’Ufficio federale di meteorologia e climatologia. All’interno delle lettere, un QR code conduceva a un’applicazione contraffatta chiamata “Alertswiss”, presentata come un sistema di allerta per catastrofi meteorologiche. 

Gli utenti che scansionavano il codice QR e installavano l’applicazione si trovavano invece ad ospitare sul proprio dispositivo Android un malware noto come Coper, progettato per rubare dati sensibili da oltre 380 applicazioni, incluse quelle bancarie. Sebbene il numero esatto di dispositivi compromessi non sia stato dichiarato, è certo che il target principale erano esclusivamente i dispositivi Android. 

 

Quishing in Italia 

Questo caso mette in evidenza come una strategia simile possa essere replicata anche in Italia, sfruttando istituzioni locali per rendere credibili i messaggi di phishing. Alcuni esempi di scenari adattabili al contesto italiano includono: 

  1. Falsi avvisi delle istituzioni governative: lettere che sembrano provenire da enti come l’INPS, l’Agenzia delle Entrate o l’ACI, contenenti QR code che promettono accesso rapido a documenti importanti o informazioni personali. 
  2. Avvisi di sicurezza bancaria: banche italiane potrebbero essere utilizzate come esca. QR code nei messaggi cartacei potrebbero condurre gli utenti a installare applicazioni malevole spacciate per strumenti ufficiali di sicurezza. 
  3. Comunicazioni sanitarie: in un periodo di attenzione alla salute pubblica, lettere fasulle da parte di enti come il Ministero della Salute o ASL locali potrebbero essere accompagnate da QR code che indirizzano a false applicazioni legate alla gestione delle vaccinazioni o dei dati sanitari. 

 

Perché funziona? 

Il successo di questo tipo di attacco risiede in alcuni fattori chiave: 

  1. Accessibilità immediata: il QR code elimina la necessità di digitare manualmente un URL, aumentando le probabilità che l’utente segua il link. 
  2. Senso di urgenza: gli attaccanti spesso accompagnano il messaggio con un linguaggio che incita ad agire rapidamente, riducendo il tempo per riflettere sulla legittimità della richiesta. 
  3. Fiducia nel supporto cartaceo: gli utenti tendono a percepire i messaggi cartacei come più autentici rispetto alle comunicazioni digitali. 

 

Come proteggersi? 

  1. Non fidarsi ciecamente: anche un messaggio cartaceo può essere falsificato. Verificare sempre la fonte prima di scansionare un QR code. 
  2. Proteggere le proprie infrastrutture IT: con sistemi di monitoraggio e risposta attivi H24 in grado analizzare in real-time il contenuto di un link e bloccare l’infezione sul nascere.
  3. Aggiornare i dispositivi: tenere sempre aggiornato il sistema operativo, le patch e gli strumenti di sicurezza per ridurre il rischio di infezioni malware. 
  4. Educazione e sensibilizzazione: le aziende e le istituzioni italiane devono investire nella formazione degli utenti, mostrando esempi di phishing tramite QR code per migliorare il livello di attenzione. 

 

In conclusione 

Il Qhishing sta emergendo come una nuova e pericolosa modalità di attacco, capace di ingannare gli utenti sfruttando la fiducia nei messaggi cartacei. Il caso svizzero evidenzia come anche i metodi di phishing possano evolvere rapidamente per aggirare le difese tradizionali. La tecnologia evolve, così come le minacce. Riconoscere e affrontare tempestivamente questi rischi è cruciale per proteggere la sicurezza delle aziende.

 

Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO