Nel suo intervento Jeremy Fuchs, ricercatore/analista di sicurezza informatica per Check Point Software, spiega cos’è il phishing tramite QR Code, conosciuto come Quishing, e dà qualche consiglio.
Di recente si è parlato molto di Quishing, o phishing tramite QR Code. Si tratta di casi in cui il link dietro a un QR Code è malevolo , ma il QR Code in sé non lo è. Sono molti i rapporti che hanno rilevato un aumento di questo tipo di attacchi. I ricercatori di Harmony Email hanno, infatti, registrato un +587% delle truffe di phishing tramite QR code tra agosto e settembre. Inoltre hanno scoperto che quasi tutti i nostri clienti sono stati presi di mira con un attacco di questo tipo. Migliaia di attacchi al mese!
Nascondere un obiettivo malevolo
Perché la tendenza è in aumento? Sembrano innocui, sono i soliti QR Code che usiamo per scansionare i menu. Sono però un ottimo modo per nascondere un intento malevolo. L’immagine può nascondere un link pericoloso e se non viene scansionata e analizzata, apparirà come un’immagine normale. E dal momento che gli utenti finali sono abituati a scansionare i codici, riceverne uno in un’e-mail non è necessariamente motivo di preoccupazione.
Secondo Statista nel 2022 negli Stati Uniti sono circa 89 milioni gli utenti che hanno scansionato un QR Code con il proprio smartphone, facendo registrare un +26% rispetto al 2020. Si prevede che l’uso di scanner di QR Code sia in costante aumento, e raggiungerà gli oltre 100 milioni di utenti negli Stati Uniti entro il 2025. Come si muovono gli hacker per ottenere le credenziali delle vittime ignare attraverso i QR Code?
L’attacco
In questo attacco, gli hacker inviano QR Code che portano a pagine di raccolta delle credenziali.
- Vettore: Email.
- Tipo: Raccolta di credenziali, Quishing.
- Tecniche: Ingegneria sociale.
- Obiettivo: Qualsiasi utente finale.
Esempio di e-mail
È molto facile creare un QR Code, grazie a moltissimi siti gratuiti che lo consentono in modo molto semplice. I QR Code rimandano a un link. I criminali informatici, o chiunque altro, possono inserire qualsiasi cosa nel link a cui il QR Code reindirizza. In questo esempio, i cybercriminali hanno creato un QR Code che rimanda a una pagina di raccolta delle credenziali.
L’esca è rappresentata dal fatto che l’MFA di Microsoft sta scadendo ed è necessario effettuare una nuova autenticazione. Anche se il corpo della mail dice di provenire dalla sicurezza di Microsoft, l’indirizzo del mittente è diverso. E una volta scansato il QR Code, l’utente viene reindirizzato a una pagina che sembra Microsoft ma che in realtà è solo una pagina di raccolta delle credenziali.
Le tecniche
Da tempo gli hacker utilizzano documenti scansionati per nascondere il testo. L’attacco funzionerebbe in questo modo: ci sarebbe un’immagine con il testo e questo aggirerebbe alcuni strumenti di analisi linguistica. Per combattere questo problema, è necessario il riconoscimento ottico dei caratteri o OCR. L’OCR converte le immagini in testo per comprenderlo. Gli hacker hanno quindi trovato un’altra soluzione per aggirare il problema, ovvero un QR Code. Combattere questi attacchi è un po’ più complicato. È necessario aggiungere all’OCR la capacità di rilevare i QR Code, tradurli nell’URL che si nasconde dietro il codice ed eseguirlo attraverso strumenti di analisi degli URL.
Proteggersi dal phishing
Per quanto ci riguarda, è da diversi anni che abbiamo implementato, rapidamente, in linea con la nostra filosofia, una protezione QR Code. Si tratta di disporre di diversi strumenti per poter reagire tempestivamente ai cambiamenti nel panorama degli attacchi. Non possiamo sempre sapere in quale direzione si muoveranno gli hacker. Ma abbiamo gli strumenti fondamentali per combatterli, dall’essere in linea al wrapping degli URL, agli strumenti di emulazione, alla crittografia di apertura e altro ancora. Quando un vettore di attacco prende piede, come nel caso dei QR Code, possiamo ricorrere alla nostra vasta gamma di strumenti e capacità per creare una soluzione in pochissimo tempo.
Le nuove tattiche degli hacker
Per i QR Code, utilizziamo il nostro analizzatore di codici QR nel nostro motore OCR. Identifica il codice, recupera l’URL e lo testa con gli altri motori. In effetti, l’esistenza di un QR Code nel corpo del messaggio e-mail è un indicatore di attacco. Una volta che l’OCR converte l’immagine in testo, il nostro NLP è in grado di identificare il linguaggio sospetto e segnalarlo come phishing. Gli hacker sperimentano sempre nuove tattiche e tecniche. A volte ripropongono vecchi metodi. A volte dirottano su cose legittime. In ogni caso, è fondamentale disporre di un kit completo di strumenti per reagire.
Best practice e raccomandazioni
Per difendersi da questi attacchi, i professionisti della sicurezza possono:
- Implementare una sicurezza delle e-mail che sfrutti l’OCR per tutti gli attacchi, compreso il quishing.
- Aumentare la sicurezza che utilizzi AI, ML e NLP per capire l’intento di un messaggio e quando potrebbe essere utilizzato il linguaggio del phishing.
- Accrescere la sicurezza che preveda più di un modo per identificare gli attacchi malevoli.