Per il report di Sophos X-Ops, la minaccia quishing relativa allo sfruttamento dei QR code è in decisa crescita nelle aziende. Ecco i consigli dei ricercatori per proteggersi. Il vettore di attacco sfrutta l’invio, via posta elettronica, di QR code fraudolenti per aggirare le misure di sicurezza anti-phishing adottate dalle aziende.
Obiettivo della minaccia quishing: il furto delle credenziali
Un QR code fraudolento inserito in un documento PDF allegato a un messaggio email si presenta sotto forma di una informazione inerente diverse comunicazioni che un’azienda può dover inviare ai suoi dipendenti. Dal momento che i QR code non sono leggibili dai computer, il dipendente che riceve il messaggio deve scannerizzarli usando il proprio telefono cellulare. Il QR code rinvia quindi a una pagina di phishing che il dipendente potrebbe non riconoscere come tale poiché i telefoni sono generalmente meno protetti dei computer. Obiettivo finale quello di acquisire password e token per l’autenticazione multifattore (MFA) così da accedere ai sistemi aziendali scavalcando le misure di protezione esistenti.
Il documento PDF accompagnatorio
Andrew Brandt, principal researcher di Sophos X-Ops Abbiamo trascorso parecchio tempo a setacciare tutti gli esemplari di spam in nostro possesso per trovare tracce di quishing. La nostra ricerca ha scoperto che gli attacchi che sfruttano questo particolare vettore sono in via di intensificazione in termini sia di volume che di sofisticazione. Specialmente per quanto riguarda l’aspetto del documento PDF accompagnatorio.
Un vettore di attacco in continua evoluzione
Oltre alle tattiche di social engineering e alla qualità di messaggi email, allegati e aspetto grafico dei QR code, questi attacchi sembrano essere in crescita anche in termini di organizzazione. Alcuni malintenzionati hanno infatti iniziato a offrire strumenti as-a-service per lanciare campagne di phishing usando QR code fraudolenti. Oltre a funzionalità come l’aggiramento dei controlli CAPTCHA o la generazione di indirizzi IP intermedi per superare il rilevamento automatico delle minacce, queste organizzazioni criminali forniscono una piattaforma di phishing sofisticata. Una piattaforma in grado di catturare le credenziali o i token MFA degli individui colpiti. Per aiutare le aziende a proteggere meglio i propri sistemi da questo tipo di attacco, Sophos X-Ops propone una serie di utili consigli:
Focus sul monitoraggio degli accessi per contenere la minaccia quishing
fare attenzione ai messaggi email interni riguardanti comunicazioni HR, stipendi o benefit aziendali. La ricerca ha rilevato come le tattiche di social engineering sfruttino proprio questi argomenti per spingere i dipendenti a scannerizzare i QR code fraudolenti con i loro dispositivi mobili.
Installare Sophos Intercept X for Mobile. Disponibile per Android, iOS e Chrome OS, comprende uno scanner di QR code che aiuta a identificare i siti di phishing conosciuti avvisando quando l’URL è considerato pericoloso.
Monitorare gli accessi sospetti. Le aziende possono rilevare attività di accesso insolite utilizzando strumenti di identity management.
Attivare l’accesso condizionale. Questa funzione aiuta a implementare controlli sull’accesso basati sulla posizione dell’utente, sullo stato del dispositivo e sul grado di rischio.
Attivare un monitoraggio efficace degli accessi per mezzo di log avanzati. Questo tipo di monitoraggio avanzato permette di visualizzare meglio tutti gli accessi al sistema e rilevare questa tipologia di minaccia in tempo reale.
Implementare filtri email avanzati. La soluzione Sophos per la protezione dal phishing effettuato tramite QR code rileva già i QR code fraudolenti inseriti direttamente nei messaggi di posta elettronica. Si prevede che venga ampliata con il riconoscimento dei QR code inseriti negli allegati entro il primo trimestre 2025.
Utilizzare il recupero dei messaggi email on-demand. I clienti Sophos Central Email che usano Microsoft 365 dispongono di questa funzionalità per eliminare i messaggi di spam e phishing dalle email aziendali.
Invitare i dipendenti alla cautela e a segnalare gli incidenti. La tempestiva segnalazione di anomalie ai team responsabili è essenziale per poter proteggere i sistemi aziendali dal phishing.
Revocare le sessioni utente sospette. È essenziale disporre di un piano per poter revocare l’accesso agli utenti che mostrano segni di violazione.
Il ruolo importante dei dipendenti
Nonostante il continuo sviluppo di nuovi vettori di attacco, le aziende possono proteggersi adottando gli strumenti adeguati, promuovendo una cultura e un ambiente di lavoro appropriati. E inoltre avvalendosi di vendor di sicurezza come Sophos.
