phishing
Abbiamo scritto più volte in merito all’utilizzo dei codici QR negli schemi di phishing. Nel nostrogateway e-mail sicuro è inclusa persino la tecnologia per leggere questi codici, non solo nelle e-mail, ma anche negli allegati, e controllare i collegamenti incorporati. Tuttavia, gli autori degli attacchi non hanno smesso di provare a inviare codici QR alle proprie vittime. Ultimamente, abbiamo visto sempre più spesso utilizzare la grafica ASCII per questo scopo: immagini composte da caratteri. La questione sembra particolarmente ironica considerando che un tempo i phisher cercavano di eludere la scansione dei collegamenti nascondendo i collegamenti nelle immagini, e ora stanno cercando di evitare la scansione delle immagini tornando al testo. Ma con qualche colpo di scena.
Grafica perduta dell’ASCII e utilizzi da parte degli utenti malintenzionati
Oggi è difficile da credere, ma c’è stato un tempo in cui i computer non potevano visualizzare la grafica. Di conseguenza, le primissime immagini del computer sono state costruite a partire da caratteri di testo. In seguito all’adozione dello standard nel 1963, per questo tipo di grafica sono stati utilizzati caratteri del set ASCII (American Standard Code for Information Interchange), in modo da garantire lo stesso aspetto delle immagini su computer diversi. Nel tempo, per creare immagini hanno iniziato a essere utilizzati altri simboli di testo (ad esempio dal set esteso Unicode), ma il nome “grafica ASCII” è rimasto il termine utilizzato per descrivere questa forma di grafica nel suo insieme. C’erano artisti seri che lavoravano con questo mezzo, i primi siti Web erano progettati con grafica ASCII e persino la prima pornografia al computer era rappresentata con caratteri di testo.
Con l’evoluzione della tecnologia di visualizzazione delle immagini, la grafica ASCII ha iniziato a passare di moda. Ha visto una grande rinascita negli anni 2000, durante il periodo di massimo splendore dello spam tramite e-mail. All’epoca, gli spammer la utilizzavano principalmente perché consentiva loro di nascondere parole chiave palesi di spam in grado di attivare filtri di posta, e allo stesso tempo di caricare meno i server di posta rispetto alle immagini. Inoltre, poiché molti utenti pagavano in base al volume di traffico Internet in quel momento, spesso disabilitavano il caricamento delle immagini nei propri client di posta elettronica. Naturalmente, in quel momento, abbiamo potenziato le nostre soluzioni di protezione della posta elettronica con una tecnologia appositamente progettata per bloccare la grafica ASCII.
Adesso la grafica ASCII è stata riscoperta, questa volta da chi cerca di aggirare la tecnologia che riconosce i codici QR all’interno delle immagini.
Che aspetto ha il phishing della grafica ASCII?
Ecco un esempio recente. Il pretesto in sé è piuttosto banale: qualcuno avrebbe presumibilmente inviato alla vittima un documento riservato tramite DocuSign, ma per aprirlo il destinatario deve eseguire la scansione del codice QR nell’e-mail per visitare un sito Web e immettere le credenziali di accesso aziendali.
Un codice QR visualizzato con caratteri Unicode. È stata offuscata una parte del codice per impedire la scansione del collegamento dannoso. Certo, il codice sembra strano. Questo è principalmente dovuto al fatto che è disegnato pezzo per pezzo con elementi pseudografici e sono visibili anche gli spazi vuoti tra le linee. In realtà, non esiste un’immagine effettiva nel codice del messaggio e-mail; il codice QR ha un aspetto nascosto simile:
Grafica ASCII all’interno del codice e-mail
Di conseguenza, gli scanner dei collegamenti non possono vedere il collegamento e gli strumenti di analisi delle immagini non riescono a trovare l’URL nascosto all’interno del codice QR, quindi gli autori degli attacchi presumono l’e-mail di phishing raggiungerà correttamente la vittima. Avviso spoiler: no, non abbiamo dimenticato come bloccare la grafica ASCII.
Il codice QR in un’e-mail è normale?
In teoria, ci sono situazioni in cui l’utilizzo di un codice QR ha senso. È un modo abbastanza pratico per condividere contatti, un collegamento a un’app mobile, la posizione sulla mappa o una configurazione. In altre parole, funziona bene ogni volta che le informazioni devono essere inviate specificatamente al dispositivo mobile del destinatario.
Tuttavia, se qualcuno utilizza un codice QR per farti immettere le credenziali aziendali in un dispositivo mobile è un segnale d’allarme immediato. E quando il codice QR viene generato con la grafica ASCII, è chiaramente un tentativo di phishing o un tentativo di adescamento a un URL dannoso. Questo trucco può avere un solo scopo: un tentativo di aggirare i controlli di sicurezza.
Come proteggersi?
Per evitare che e-mail di phishing, con o senza grafica ASCII, raggiungano le caselle di posta dei dipendenti, è consigliabile utilizzare un gateway e-mail sicuro con funzionalità anti-phishing avanzate. Come livello di difesa aggiuntivo, è opportuno installare soluzioni di sicurezza in tutti gli endpoint utilizzati per accedere a Internet.
Inoltre, si consiglia una regolare formazione di sensibilizzazione alla sicurezza per educare i dipendenti alle moderne tattiche di phishing. In particolare, è importante spiegare che la grafica ASCII nelle e-mail moderne può essere un segno rivelatore di un tentativo di attacco di phishing.
Consigli