QRishing: cos’è, come funziona e come difendersi

Scritto da Webristle

Nov 16, 2022

Novembre 16, 2022

Il QRishing è un attacco di phishing realizzato attraverso un codice QR. Lo smartphone è ormai costantemente a portata di mano per eseguire le più disparate operazioni, secondo il Digital Consumer Trends Survey 2022 il 94% degli italiani adulti è in possesso di uno smartphone. Ecco perché questo dispositivo è sempre più veicolo di truffe bancarie online e di alcune tecniche di phishing che passano da canali apparentemente obsoleti, come lo smishing, cioè il phishing tramite gli SMS, e il vishing, il phishing vocale.

A queste tecniche malevole se ne aggiunge una nuova, il QRishing, la truffa del QR Code. Si tratta della nuova frontiera delle truffe digitali: tramite il QR Code i malintenzionati sottraggono alle vittime dati sensibili e credenziali di carte e conti.

 

 

Cos’è il QR Code

Prima di spiegarti in cosa consiste in QRishing, è opportuno porre l’accento sul funzionamento del QR Code come particolare strumento di accesso alle informazioni.

Diventato molto popolare durante la pandemia e rimasto in uso tuttora in ristoranti, musei, stampato su giornali e riviste, il QR Code (ossia “Quick Response Code”, codice a risposta veloce) è una matrice che contiene determinate informazioni. Spesso viene considerato il successore più evoluto del codice a barre ma in realtà, una volta che il QR Code viene inquadrato con la fotocamera dello smartphone, questo codice reindirizza a siti web o app, contenuti multimediali, possono essere usati anche per effettuare pagamenti o prelievi tramite app.

I QR code, dunque, sono strumenti che permettono di condividere informazioni sempre aggiornate ed è per questo che sono diventati esche appetibili per i cybercriminali che hanno dato vita al QRishing come nuova frontiera delle frodi digitali.

 

Quali sono le truffe del QR Code

In sostanza, come vishing e smishing e altre comuni tecniche di phishing, il QRishing inizia col tentativo di suscitare la curiosità della vittima, che viene indotta ad inquadrare il QR Code.

Questo tipo di raggiro avviene attraverso diversi metodi. I cybercriminali approfittano del fatto che alcune applicazioni non mostrano la URL dei codici QR e, in questo modo, riescono a nascondere i link malevoli. Inoltre, i browser mobile non utilizzano i medesimi sistemi di sicurezza dei browser desktop, come ad esempio, la possibilità di confrontare una URL con una blacklist di URL già etichettate come pericolose.

Dunque, la pericolosità del QRishing risiede nel suo essere una tecnica di truffa ancora poco conosciuta e, per questo motivo, non ostacolata da sistemi di sicurezza con cui si combattono, ad esempio, gli attacchi via email. Oltretutto, come sottolineato sopra, si tratta di una tecnologia ampiamente diffusa nelle pratiche della vita quotidiana e che coinvolge sia lo spazio digitale sia lo spazio fisico.

 

Come funziona il QRishing

L’operazione che i cybercriminali compiono è chiaramente quella di modifica o sostituzione di un QR-Code: il malcapitato che inquadra il codice atterra su un indirizzo internet differente da quello su cui credeva di essere condotto.

I metodi più utilizzati per sottoporre agli utenti QRcode fasulli possono essere:

  • sovrapporre sui codici originali una guaina trasparente, tecnica adottata per lo più in quei luoghi che sono familiari per l’utente, un locale, un negozio di fiducia, tutti contesti in cui la vittima non si sente a rischio e, di conseguenza, il suo senso di sicurezza è meno allertato;
  • ricorrere a marchi molto noti posti accanto al codice QR malevolo che simula una promozione del marchio famoso su volantini o manifesti creati ad hoc;
  • utilizzare buoni sconto che fanno leva sulla consolidata abitudine degli utenti a inquadrare codici QR che offrono sconti di marchi famosi.

Senza che se ne renda conto, la vittima inserisce i propri dati personali, che finiscono immediatamente tra le mani dei criminali informatici, che in altri casi agiscono installando malware sui dispositivi o dirottando i loro pagamenti delle vittime verso account controllati dai malfattori.

 

Come proteggersi dal QRishing

I canali che il phishing usa come esca per via della loro presenza nella quotidianità degli utenti (codice QR, SMS, telefonate, email) rappresentano appunto solo un’esca, la truffa potrebbe anche fallire se solo la vittima fosse in grado di riconoscere che la pagina su cui è atterrato è fasulla, cosa che succede difficilmente.

Per questo vi proponiamo alcuni consigli per aggirare il problema a monte e fare attenzione ad alcuni aspetti per evitare di cadere nella trappola del QRishing.

 

  1. Ispezionare il formato del QR Code, per capire se un QR code fasullo è incollato sull’originale.
  2. Fare attenzione a chi ha generato il QR Code, per assicurarsi che si tratti di codici generati da applicazioni sicure creati per specifiche finalità e che non portino a siti in cui vengono richieste informazioni personali. Questi codici sono di sicuro meno pericolosi rispetto a quelli codici esposti pubblicamente, nel mondo fisico o virtuale, che portano a siti in cui viene richiesto l’inserimento di dati personali.
  3. Fare attenzione agli URL abbreviati che spesso nascondono una URL intera che può destare sospetti, evitare di aprirli se si naviga con un browser mobile con cui non è possibile controllare.
  4. Installare applicazioni di sicurezza sui dispositivi mobili: poiché i browser mobile non chiedono agli utente se è sicuro di volere entrare in un sito non sicuro, cosa che invece fanno i browser mobile.

 

I consigli per difendersi da truffe di questo tipo e dalle ormai sempre più numerose e sottili tecniche dei criminali informatici non sono mai abbastanza. Il tema della cybersicurezza è più che mai caldo e uno dei nostri principali obiettivi è quello di diffondere maggiore consapevolezza negli utenti, perché il pericolo potrebbe trovarsi anche dietro il menu del ristorante preferito.

Articoli correlati

Cyber Insurance: cos’è e perché è fondamentale

Cosa è la cyber insurance La cyber insurance, nota anche come assicurazione cibernetica o assicurazione informatica, è un tipo di polizza assicurativa progettata per proteggere le organizzazioni dai rischi legati alle minacce e agli incidenti informatici. Queste...

Spear phishing: cos’è e come proteggersi

Spear phishing: cos’è e come proteggersi

Lo spear phishing rappresenta una minaccia sempre più sofisticata nel panorama della sicurezza informatica. Questa forma di attacco mirato va oltre le tecniche tradizionali di phishing, concentrandosi su individui specifici o aziende con un livello di precisione...

Teabot: cos’è e come difendersi dal banking trojan

Teabot: cos’è e come difendersi dal banking trojan

Aveva fatto la sua comparsa nel maggio 2021 e un anno dopo è tornato a colpire; stiamo parlando di Teabot, un trojan bancario in grado di rubare i dati di accesso ai conti degli utenti. Nascosto in app all'apparenza non pericolose, il malware Teabot aveva creato già...

Iscriviti alla nostra Newsletter

Ricevi consigli utili su come mantenerti sicuro nel mondo digitale una volta al mese!