Di recente si è parlato molto di Quishing, o phishing tramite QR Code. Si tratta di casi in cui il link dietro a un QR Code è malevolo, ma il QR Code in sé non lo è. Sono molti i rapporti che hanno rilevato un aumento di questo tipo di attacchi.I ricercatori di Harmony Email hanno, infatti, registrato un incremento del 587% delle truffe di phishing tramite QRcodetra agosto e settembre e hanno scoperto che quasi tutti i nostri clienti sono stati presi di mira con un attacco di questo tipo: migliaia di attacchi al mese!Perché la tendenza è in aumento? Sembrano innocui, sono i soliti QR Code che usiamo per scansionare i menu.Sono però un ottimo modo per nascondere un intento malevolo. L’immagine può nascondere un link pericoloso e se non viene scansionata e analizzata, apparirà come un’immagine normale. E dal momento che gli utenti finali sono abituati a scansionare i QR Code, riceverne uno in un’e-mail non è necessariamente motivo di preoccupazione. Secondo Statista, nel 2022 negli Stati Uniti, sono circa 89 milioni gli utenti che hanno scansionato un QR Code con il proprio smartphone, facendo registrare un aumento del 26% rispetto al 2020. Si prevede che l’uso di scanner di QR Code sia in costante aumento, e raggiungerà gli oltre 100 milioni di utenti negli Stati Uniti entro il 2025.Come si muovono gli hacker per ottenere le credenziali delle vittime ignare attraverso i QR Code? L’attaccoIn questo attacco, gli hacker inviano QR Code che portano a pagine di raccolta delle credenziali.
- Vettore: Email
- Tipo: Raccolta di credenziali, Quishing
- Tecniche: Ingegneria sociale
- Obiettivo: Qualsiasi utente finale
Esempio di e-mailÈ molto facile creare un QR Code, grazie a moltissimi siti gratuiti che lo consentono in modo molto semplice. I QR Code rimandano a un link. I criminali informatici, o chiunque altro, possono inserire qualsiasi cosa nel link a cui il QR Code reindirizza.In questo esempio, i cybercriminali hanno creato un QR Code che rimanda a una pagina di raccolta delle credenziali. L’esca è rappresentata dal fatto che l’MFA di Microsoft sta scadendo ed è necessario effettuare una nuova autenticazione.Anche se il corpo della mail dice di provenire dalla sicurezza di Microsoft, l’indirizzo del mittente è diverso. E una volta scansato il QR Code, l’utente viene reindirizzato a una pagina che sembra Microsoft ma che in realtà è solo una pagina di raccolta delle credenziali. TecnicheDa tempo gli hacker utilizzano documenti scansionati per nascondere il testo. L’attacco funzionerebbe in questo modo: ci sarebbe un’immagine con il testo e questo aggirerebbe alcuni strumenti di analisi linguistica. Per combattere questo problema, è necessario il riconoscimento ottico dei caratteri o OCR. L’OCR converte le immagini in testo per comprenderlo.Gli hacker hanno quindi trovato un’altra soluzione per aggirare il problema, ovvero un QR Code.Per combattere questi attacchi è un po’ più complicato. È necessario aggiungere all’OCR la capacità di rilevare i QR Code, tradurli nell’URL che si nasconde dietro il codice ed eseguirlo attraverso strumenti di analisi degli URL.Per quanto ci riguarda, è da diversi anni che abbiamo implementato, rapidamente, in linea con la nostra filosofia, una protezione QR Code. Si tratta di disporre di diversi strumenti per poter reagire tempestivamente ai cambiamenti nel panorama degli attacchi. Non possiamo sempre sapere in quale direzione si muoveranno gli hacker. Ma abbiamo gli strumenti fondamentali per combatterli, dall’essere in linea al wrapping degli URL, agli strumenti di emulazione, alla crittografia di apertura e altro ancora.Quando un vettore di attacco prende piede, come nel caso dei QR Code, possiamo ricorrere alla nostra vasta gamma di strumenti e capacità per creare una soluzione in pochissimo tempo.Per i QR Code, utilizziamo il nostro analizzatore di codici QR nel nostro motore OCR. Identifica il codice, recupera l’URL e lo testa con gli altri motori. In effetti, l’esistenza di un QR Code nel corpo del messaggio e-mail è un indicatore di attacco. Una volta che l’OCR converte l’immagine in testo, il nostro NLP è in grado di identificare il linguaggio sospetto e segnalarlo come phishing.Gli hacker sperimentano sempre nuove tattiche e tecniche. A volte ripropongono vecchi metodi. A volte dirottano su cose legittime come i QR Code. In ogni caso, è fondamentale disporre di un kit completo di strumenti per reagire.Best practice e raccomandazioniPer difendersi da questi attacchi, i professionisti della sicurezza possono:
- Implementare una sicurezza delle e-mail che sfrutti l’OCR per tutti gli attacchi, compreso il quishing.
- Implementare una sicurezza che utilizzi AI, ML e NLP per capire l’intento di un messaggio e quando potrebbe essere utilizzato il linguaggio del phishing.
- Implementare una sicurezza che preveda più di un modo per identificare gli attacchi malevoli
A cura di Jeremy Fuchs, ricercatore/analista di sicurezza informaticaper Check Point Software LTD
