Phishing con codice QR: la nuova truffa che non potete permettervi di ignorare

I codici QR sono ovunque, dai menu dei ristoranti alle porte degli uffici. Ma ora sono anche un'arma nelle mani dei criminali informatici.
I cosiddetti attacchi di "quishing" (phishing con codice QR) sono in rapida crescita e la maggior parte dei dipendenti non sa nemmeno che esistono. Se la vostra formazione di sensibilizzazione si concentra ancora solo sui link nelle e-mail, è ora di aggiornare il programma.

Attacchi con codice QR

Che cos'è il phishing con codice QR?

Il phishing tramite codice QR prevede l'inserimento di link dannosi nei codici QR che, una volta scansionati, indirizzano gli utenti verso siti web falsi, ruba-credenziali o download di malware. Questi attacchi sono molto efficaci perché:

  • Bypassare i filtri antispam delle e-mail

  • Appaiono in luoghi in cui gli utenti non si aspettano minacce.

  • Sfruttare un falso senso di sicurezza fisica (ad es. su materiale stampato)

Basta una semplice scansione. Sui dispositivi mobili, dove la visibilità e l'attenzione sono ridotte, gli utenti spesso non vedono nemmeno l'URL completo.

 

Esempi reali di Quishing in azione

I criminali informatici stanno diventando creativi:

  • Truffe ai parchimetri: Falsi adesivi QR posizionati sui parchimetri legittimi indirizzano le vittime verso siti di phishing che richiedono informazioni sul pagamento.

  • Phishing aziendale: gli aggressori inseriscono codici QR nelle e-mail o nei volantini stampati per aggirare i controlli di sicurezza delle e-mail.

  • I cacciatori di credenziali informatiche: Codici scannerizzabili affermano di reindirizzare gli utenti a pagine di "autenticazione a più fattori", ma rubano invece i dati di login.

Nel 2024, diverse aziende europee hanno segnalato truffe di lavoro nel settore delle risorse umane utilizzando codici QR negli annunci di assunzione. Le vittime sono state indotte a caricare documenti personali.

Perché il Quishing funziona così bene

Diversi fattori psicologici e tecnici rendono il phishing con codice QR particolarmente pericoloso:

  • Gli utenti si fidano di più della segnaletica fisica che dei messaggi digitali

  • Nessuna anteprima visibile del link: A differenza delle e-mail, i codici QR nascondono l'URL.

  • Comportamento mobile-first: Le persone agiscono velocemente e pensano più tardi sui telefoni

  • Punto cieco della sicurezza: La maggior parte dei corsi di sensibilizzazione non copre i rischi dei codici QR

Inoltre, a differenza del phishing tradizionale, questi attacchi possono essere lanciati in ambienti offline e fuori rete: manifesti, biglietti da visita, mezzi pubblici, ecc.

Attacchi con codice QR

Come difendersi dal phishing con codice QR

Per ridurre il rischio, le organizzazioni devono agire subito:

  1. Aggiornare la formazione sulla consapevolezza del phishing per includere le truffe basate sui QR.

  2. Educare il personale a visualizzare l'anteprima dei link QR prima di aprirli (molte app lo consentono).

  3. Scoraggiare la scansione alla cieca di codici QR sconosciuti o non ufficiali.

  4. Utilizzare lettori di codici QR sicuri che convalidano le destinazioni

  5. Simulare attacchi di quishing come parte dei vostri test di phishing

Suggerimento: Ricordate che anche un codice QR stampato può essere un link di phishing: fisico non significa sicuro.

La consapevolezza è la difesa più forte

Come ogni nuovo metodo di phishing, il quishing sfrutta la fiducia, la fretta e le lacune nella formazione. Ma una volta che il personale è a conoscenza della tattica, questa diventa molto meno efficace.

La sicurezza non consiste solo nel bloccare i link, ma nel mettere le persone in condizione di riconoscere e resistere alla manipolazione in tutte le sue forme.

Se il vostro programma di sensibilizzazione non include il QR phishing, è ora di rivedere la vostra strategia.

 

Simulazione di quishing

  •  

Pensieri finali

Il phishing tramite codice QR non è una minaccia futuristica: è già qui. Man mano che gli aggressori evolvono le loro tattiche, trovano nuovi modi per sfruttare gli strumenti di uso quotidiano a cui ci affidiamo, compreso l'umile codice QR.

Questo tipo di phishing funziona proprio perché si inserisce nei moderni flussi di lavoro e aggira i tradizionali controlli di sicurezza. Ecco perché è fondamentale formare il personale, non solo la tecnologia.

La migliore difesa è una forza lavoro informata. Ampliando la formazione di sensibilizzazione per includere le minacce emergenti come il quishing, vi assicurate che il vostro team rimanga all'erta, anche quando la minaccia arriva in forma inaspettata.

Dopotutto, nel campo della sicurezza informatica, ciò che non si sa può nuocere.

Per qualsiasi domanda su come possiamo aiutare voi e la vostra organizzazione a stare al sicuro dai criminali informatici, utilizzate il nostro modulo di contatto.

Per saperne di più sulle configurazioni tecniche, consultate il nostro WIKI qui: Note sull'attacco QR.

Anche il nostro canale You tube contiene molti contenuti pertinenti e utili.