Passa al contenuto principale

Cos'è il Quishing? Come proteggersi dal phishing dei codici QR

Una donna che esegue la scansione di un codice QR con il cellulare

In un'era di codici QR, i criminali informatici utilizzano uno schema chiamato "quishing" per ingannare le persone e indirizzarle a siti Web dannosi. Continua a leggere per saperne di più su questo inganno, sulle varie forme di phishing con i codici QR e su come proteggersi da tali attacchi.

Cos'è il Quishing?

Il quishing è un tipo di attacco informatico che prevede l'utilizzo di codici QR per indurre in errore le persone a visitare siti Web dannosi o a divulgare informazioni riservate. Questo attacco sfrutta la fiducia e la praticità associate ai codici QR per ingannare le vittime. Il quishing può anche essere noto come phishing del codice QR, spoofing del codice QR o QRishing.

Come funzionano gli attacchi di phishing con codice QR?

Un tipico attacco di quishing o di phishing con codice QR ha cinque fasi chiave:

  1. Distribuzione : gli aggressori creano codici QR fraudolenti e li distribuiscono in vari modi, ad esempio stampandoli su volantini, poster o etichette, o condividendoli in formato digitale tramite e-mail, SMS o social media.
  2. Inganno : i codici QR fraudolenti sono in genere progettati per apparire legittimi e possono promettere offerte allettanti, sconti o servizi per invogliare le potenziali vittime.
  3. Scansione : le vittime rilevano il codice QR e utilizzano i propri dispositivi mobili, dotati di app per la lettura di codici QR, per eseguirne la scansione.
  4. Reindirizzamento : durante la scansione del codice QR, il dispositivo della vittima viene reindirizzato a un sito Web dannoso sotto il controllo degli aggressori. Questo sito Web imita in genere un sito attendibile o noto.
  5. Furto di dati : il sito Web falso può richiedere alla vittima di immettere informazioni riservate, come credenziali di accesso, dettagli personali o informazioni finanziarie, spacciandosi per una fonte legittima che richiede le informazioni fornite.

Tipi di attacchi quishing

Gli attacchi di QR phishing o QRishing possono assumere varie forme e gli aggressori utilizzano tattiche diverse per ingannare le vittime. Ecco alcuni esempi:

  1. Sconti per prodotti contraffatti : gli aggressori distribuiscono codici QR promettendo sconti sostanziali su prodotti o servizi popolari. Quando viene scansionato, il codice QR reindirizza gli utenti a un sito Web falso in cui viene richiesto loro di fornire informazioni personali e dettagli di pagamento. Lo sconto promesso non si concretizza mai.
  2. Biglietti per eventi falsi : i truffatori creano codici QR per eventi che non esistono o per biglietti che non possiedono. Le vittime ignare scansionano il codice, credendo di acquistare i biglietti, solo per perdere denaro e vedersi rubare i dati personali.
  3. Truffe relative alle offerte di lavoro : gli utenti malintenzionati possono inviare offerte di lavoro false tramite e-mail o social media con un codice QR per la domanda di lavoro. Quando viene scansionato, il codice porta l'utente a una pagina di phishing che richiede informazioni personali e finanziarie.
  4. Truffe bancarie e finanziarie : gli utenti malintenzionati possono inviare codici QR che sembrano provenire dalla banca di un utente, sostenendo di essere collegati a importanti informazioni sull'account. La scansione del codice reindirizza l'utente a un sito Web bancario falso progettato per rubare le credenziali di accesso e le informazioni finanziarie.
  5. Truffe relative alle criptovalute: i truffatori creano codici QR ingannevoli e li distribuiscono attraverso vari canali, come e-mail, social media o persino adesivi fisici. Le vittime ignare scansionano questi codici credendo di avviare transazioni legittime in criptovaluta , ma in realtà finiscono per inviare i propri fondi al portafoglio del truffatore.
  6. Truffe sulle donazioni di beneficenza : i truffatori distribuiscono codici QR che affermano di essere destinati a donazioni di beneficenza. Quando viene scansionato, il codice indirizza gli utenti a una pagina di donazione fraudolenta che acquisisce i dettagli del pagamento.
  7. Truffe nella consegna di pacchi : i truffatori inviano codici QR tramite e-mail o SMS sostenendo di tracciare le informazioni per la consegna di un pacco. Quando il destinatario esegue la scansione del codice, questo reindirizza a un sito Web falso che cerca informazioni personali o invia malware .
  8. Truffe relative al COVID-19 : durante la pandemia di COVID-19, i truffatori hanno utilizzato i codici QR negli attacchi di phishing. Hanno inviato codici QR in e-mail o messaggi, sostenendo di creare collegamenti a informazioni sui vaccini COVID-19 o sulle linee guida di sicurezza. La scansione del codice QR ha portato a siti Web fraudolenti nella ricerca di informazioni personali o nella diffusione di malware.
  9. Truffe su ristoranti e menu : dopo l'aumento dell'utilizzo del codice QR durante e dopo la pandemia COVID-19, gli aggressori hanno distribuito codici QR nei menu dei ristoranti falsi. Durante la scansione, questi codici venivano reindirizzati a siti Web dannosi che tentavano di installare malware o rubare informazioni personali.

Questi sono solo alcuni esempi di attacchi di phishing QR. I codici QR sono strumenti utili, ma possono essere sfruttati dai criminali informatici per indurre le persone a rivelare informazioni riservate o a cadere vittime di varie truffe. È fondamentale prestare attenzione durante la scansione dei codici QR, in particolare quelli ricevuti da fonti non verificate o non richieste, e verificarne la legittimità prima di intraprendere qualsiasi azione.

Esempi nel mondo reale di truffe quishing

L'attacco quishing cinese ha preso di mira conti bancari

Nel 2022 è emersa una campagna di QR phishing in Cina, dove dei truffatori si sono spacciati per il ministero delle Finanze cinese . Hanno inviato e-mail ingannevoli, inducendo gli utenti a credere di poter richiedere una nuova sovvenzione pubblica. Lo stratagemma consisteva nel richiedere agli utenti di eseguire la scansione di un codice QR incorporato in un documento allegato utilizzando un'app mobile di messaggistica e pagamento come WeChat. Gli hacker spesso optano per i codici QR perché sono difficili da rilevare a causa delle misure di sicurezza tecniche. Inoltre, i dispositivi mobili, che vengono in genere utilizzati per tali azioni, possono essere meno sicuri dei computer. Dopo la scansione del codice, gli utenti venivano indirizzati a una pagina Web in cui veniva richiesto di fornire informazioni complete sulle proprie carte di credito e conti bancari.

Chioschi Pay-to-park e truffe relative ai biglietti per i parcheggi negli Stati Uniti

In un caso del Texas , i criminali informatici hanno apposto adesivi con codici QR contraffatti ai chioschi pay-to-park, facendo credere ai conducenti di poterli utilizzare per il pagamento del parcheggio. Durante la scansione di questi codici, i conducenti sono stati indirizzati a un sito Web fraudolento in cui hanno inserito i dati della carta di credito, rivelando inavvertitamente i dati riservati agli hacker. Un incidente simile si è verificato nel febbraio 2022 ad Atlanta, quando i conducenti hanno scoperto multe per parcheggio con codici QR sui propri veicoli, presumibilmente per il pagamento di una multa. Dopo la scoperta del problema, le autorità locali hanno avvertito che Atlanta non utilizza codici QR sui biglietti del parcheggio.

Che cos'è QRLJacking?

Un concetto correlato al quishing è quello di QRLJacking. Quick Response Login (QRL) è un metodo di autenticazione che utilizza codici QR per l'accesso a siti Web, app o servizi digitali. Gli utenti eseguono la scansione del codice QR nella schermata di accesso con lo smartphone, concedendo l'accesso diretto o avviando l'autenticazione secondaria per le configurazioni a più fattori.

Tuttavia, gli hacker possono sfruttare QRL come segue:

  • Iniziano una sessione QR lato client nel sito Web o nell'app di destinazione.
  • Clonano il codice QR legittimo, reindirizzandolo al proprio server.
  • Hanno incorporato questo QR manipolato in una pagina di accesso falsa simile all'originale.
  • Il collegamento alla pagina di accesso falsa viene distribuito tramite e-mail o altri canali, richiedendo agli utenti di fare clic e scansionare il codice QR.
  • Se l'autenticazione a più fattori non è attiva, la scansione del codice QR concede all'utente malintenzionato l'accesso.

Una donna che esegue la scansione di un codice QR

Segni di attacchi quishing: a cosa prestare attenzione

Il phishing QR spesso ignora i rilevatori di malware e i filtri e-mail perché nasconde i codici QR nelle e-mail o nei documenti allegati con estensioni non sospette. Questa oscurità, combinata con la manipolazione emotiva o l'ingegneria sociale , spinge le vittime a eseguire la scansione di codici QR dannosi per scopi fraudolenti. Attenzione ai seguenti segnali di phishing QR:

  • Fonti insolite: prestare attenzione se si ricevono codici QR da fonti impreviste o non richieste, in particolare nelle e-mail o nei messaggi da mittenti sconosciuti.
  • Dominio non corrispondente: verificare se il codice QR reindirizza a un dominio o a un sito Web diverso da quello che afferma di rappresentare. Questo può essere un segno di phishing.
  • Grammatica e ortografia: una grammatica e un'ortografia scadenti nei messaggi o nelle istruzioni di accompagnamento possono indicare un tentativo di phishing.
  • Richieste urgenti: fare attenzione ai codici QR forniti con richieste urgenti di azione immediata, come minacce o promesse di ricompensa.
  • Passaggi di autenticazione multipli: gli accessi con codice QR autentici in genere implicano scansioni una tantum. Se vengono richieste ulteriori informazioni o passaggi, potrebbe trattarsi di un tentativo di phishing.
  • Informazioni eccessivamente personali: le richieste di informazioni altamente personali, come i numeri di previdenza sociale o dettagli finanziari completi, possono essere segnali di allarme.
  • Autorizzazioni insolite: quando viene richiesto di concedere autorizzazioni estese a un'app mobile dopo la scansione di un codice QR, prestare attenzione ed eseguire ulteriori indagini.

Le tattiche di QR phishing variano, quindi vigilanza e cautela sono essenziali per evitare di cadere vittima di queste truffe.

Come proteggersi dal quishing

Per proteggersi dagli attacchi di phishing QR, segui queste linee guida:

  1. Verifica della sorgente: verificare sempre la sorgente di un codice QR prima della scansione, soprattutto se proviene da un mittente sconosciuto.
  2. Sii scettico nei confronti dei codici QR non richiesti : prestare attenzione quando si riscontrano codici QR non richiesti in e-mail, messaggi di testo o materiali fisici.
  3. Verificare la presenza di errori di ortografia e grammatica: esaminare il materiale promozionale per rilevare eventuali errori di ortografia e grammatica, comuni nelle comunicazioni fraudolente.
  4. Esaminare l'URL di destinazione: prima della scansione, assicurarsi che l'URL di destinazione corrisponda alla sorgente prevista e appaia legittimo, senza elementi sospetti o con errori di ortografia.
  5. Ispezionare la pagina di destinazione: dopo la scansione, esaminare attentamente il contenuto e il design della pagina di destinazione. È più probabile che le pagine legittime appaiano professionali e prive di errori.
  6. Attenzione alle richieste di informazioni immediate: prestare attenzione se la pagina di destinazione richiede immediatamente informazioni riservate come credenziali di accesso o dettagli per il pagamento. I servizi legittimi in genere non lo richiedono in anticipo.
  7. Verificare offerte speciali o sconti: verificare in modo indipendente le offerte promesse dai codici QR con il sito Web ufficiale o con l'azienda stessa. Se qualcosa sembra sospetto o troppo bello per essere vero, fidati del tuo istinto ed evita di eseguire la scansione del codice QR.
  8. Cerca HTTPS: verifica la presenza di una connessione protetta (HTTPS) nel sito Web reindirizzato. La S sta per "sicuro" e indica che il sito Web dispone di un certificato di sicurezza aggiornato .
  9. Utilizzare l'autenticazione a due fattori (FA): abilitare la funzione di accesso rapido per gli account online per aggiungere un ulteriore livello di sicurezza nel caso in cui le credenziali vengano manomesse.
  10. Segnala attività sospette: segnalare sospetti attacchi di phishing QR alle autorità competenti, al reparto IT dell'organizzazione o al provider di servizi e-mail.
  11. Educare te stesso e gli altri: tieniti aggiornato su notizie e minacce sulla sicurezza informatica per riconoscere potenziali rischi. Condividete le conoscenze sul phishing tramite QR e su altre minacce online con amici e familiari per migliorare collettivamente la sicurezza online.
  12. Tieniti aggiornato: assicurarsi che il sistema operativo e le app del dispositivo mobile vengano aggiornati periodicamente con le patch di sicurezza più recenti per ridurre il rischio di essere vittime di tali attacchi.
  13. Installare il software di protezione: proteggete i dispositivi con un software di protezione aggiornato come Kaspersky Premium , che blocca i siti Web dannosi e li difende da una serie di minacce online. Kaspersky Premium viene fornito con VPN illimitata per una maggiore privacy e protezione della connessione Internet e Password Manager per generare e archiviare password complesse e univoche.

Seguendo questi suggerimenti e rimanendo vigile, è possibile ridurre significativamente il rischio di cadere vittima di attacchi di phishing QR e altre truffe online. Dare la priorità alla sicurezza online è essenziale nel mondo digitale di oggi, in cui l'utilizzo dei codici QR è diffuso.

Domande frequenti sugli attacchi di phishing con codice QR e quishing

Cos'è il quishing?

Il quishing coinvolge i criminali informatici che utilizzano i codici QR per indurre le persone a siti Web contraffatti, indurli a fornire informazioni personali o finanziarie o con l'inganno a scaricare contenuti dannosi. Il quishing può anche essere noto come phishing del codice QR, spoofing del codice QR o QRishing.

Prodotti correlati:

Articoli correlati:

Cos'è il Quishing? Come proteggersi dal phishing dei codici QR

Informazioni sul phishing con codice QR, comprese le fasi di un attacco di quishing, i tipi di truffe di quishing, i segnali di quishing e come proteggersi.
Kaspersky logo

Articoli correlati: