Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, ha pubblicato i risultati di una ricerca condotta da Sophos X-Ops relativa al quishing, il vettore di attacco che sfrutta l’invio via posta elettronica di QR code fraudolenti per aggirare le misure di sicurezza anti-phishing adottate dalle aziende.
Un QR code fraudolento inserito in un documento PDF allegato a un messaggio email si presenta sotto forma di una informazione inerente stipendi, benefit o altre comunicazioni ufficiali che un’azienda può dover inviare ai suoi dipendenti. Dal momento che i QR code non sono leggibili dai computer, il dipendente che riceve il messaggio deve scannerizzare il QR code usando il proprio telefono cellulare; il QR code rinvia quindi a una pagina di phishing che il dipendente potrebbe non riconoscere come tale poiché i telefoni sono generalmente meno protetti dei computer. L’obiettivo degli attaccanti è quello di acquisire password e token per l’autenticazione multifattore (MFA) così da accedere ai sistemi aziendali scavalcando le misure di protezione esistenti.
“Abbiamo trascorso parecchio tempo a setacciare tutti gli esemplari di spam in nostro possesso per trovare tracce di quishing”, hacommentato Andrew Brandt, principal researcher di Sophos X-Ops. “La nostra ricerca ha scoperto che gli attacchi che sfruttano questo particolare vettore sono in via di intensificazione in termini sia di volume che di sofisticazione, specialmente per quanto riguarda l’aspetto del documento PDF accompagnatorio”.
Oltre alle tattiche di social engineering e alla qualità di messaggi email, allegati e aspetto grafico dei QR code, questi attacchi sembrano essere in crescita anche in termini di organizzazione. Alcuni malintenzionati hanno infatti iniziato a offrire strumenti as-a-service per lanciare campagne di phishing usando QR code fraudolenti. Oltre a funzionalità come l’aggiramento dei controlli CAPTCHA o la generazione di indirizzi IP intermedi per superare il rilevamento automatico delle minacce, queste organizzazioni criminali forniscono una sofisticata piattaforma di phishing capace di catturare le credenziali o i token MFA degli individui colpiti.
Per aiutare le aziende a proteggere meglio i propri sistemi da questo tipo di attacco, Sophos X-Ops propone una serie di utili consigli:
- Fare attenzione ai messaggi email interni riguardanti comunicazioni HR, stipendi o benefit aziendali: la ricerca di Sophos X-Ops ha rilevato come le tattiche di social engineering sfruttino proprio questi argomenti per spingere i dipendenti a scannerizzare i QR code fraudolenti con i loro dispositivi mobili.
- Installare Sophos Intercept X for Mobile: disponibile per Android, iOS e Chrome OS, questa soluzione comprende uno scanner di QR code che aiuta a identificare i siti di phishing conosciuti avvisando quando l’URL è considerato pericoloso.
- Monitorare gli accessi sospetti: le aziende possono rilevare attività di accesso insolite utilizzando strumenti di identity management.
- Attivare l’accesso condizionale: questa funzione aiuta a implementare controlli sull’accesso basati sulla posizione dell’utente, sullo stato del dispositivo e sul grado di rischio.
- Attivare un monitoraggio efficace degli accessi per mezzo di log avanzati: questo tipo di monitoraggio avanzato permette di visualizzare meglio tutti gli accessi al sistema e rilevare questa tipologia di minaccia in tempo reale.
- Implementare filtri email avanzati: la soluzione Sophos per la protezione dal phishing effettuato tramite QR code rileva già i QR code fraudolenti inseriti direttamente nei messaggi di posta elettronica e si prevede che venga ampliata con il riconoscimento dei QR code inseriti negli allegati entro il primo trimestre del 2025.
- Utilizzare il recupero dei messaggi email on-demand: i clienti Sophos Central Email che usano Microsoft 365 dispongono di questa funzionalità per eliminare i messaggi di spam e phishing dalle email aziendali.
- Invitare i dipendenti alla cautela e a segnalare gli incidenti: la tempestiva segnalazione di anomalie ai team responsabili è essenziale per poter proteggere i sistemi aziendali dal phishing.
- Revocare le sessioni utente sospette: è essenziale disporre di un piano per poter revocare l’accesso agli utenti che mostrano segni di violazione.
Nonostante il continuo sviluppo di nuovi vettori di attacco, le aziende possono proteggersi adottando gli strumenti adeguati, promuovendo una cultura e un ambiente di lavoro appropriati e avvalendosi di vendor di sicurezza come Sophos.