Che cos’è il Quishing (Truffa QR code)

Il quishing (o phishing tramite codici QR) è una minaccia informatica in rapida evoluzione che sfrutta la praticità dei codici QR per spingere gli utenti a compromettere la propria sicurezza. Incorporando link dannosi all’interno di QR che sembrano innocui, gli aggressori aggirano i filtri email tradizionali e ti indirizzano verso siti web fraudolenti o al download di malware. Questa tattica di ingegneria sociale sfrutta l’uso diffuso dei codici QR nelle attività aziendali, rendendo le organizzazioni vulnerabili sia tramite i dispositivi aziendali che quelli personali.

Il quishing è un attacco di social engineering in cui i criminali informatici sfruttano i codici QR. A differenza del tradizionale phishing, che si basa su link testuali, il quishing utilizza i codici QR per aggirare i filtri di sicurezza delle email e sfruttare la tua fiducia in questa tecnologia così diffusa.

I codici QR sono matrici leggibili da dispositivi elettronici, capaci di memorizzare fino a 7.089 caratteri numerici o URL, accessibili tramite le fotocamere degli smartphone o le app di scansione. Il loro design include funzioni di correzione degli errori, che permettono loro di funzionare anche se parzialmente danneggiati. Sebbene gli usi legittimi spazino dai pagamenti contactless alle campagne di marketing, la loro opacità (non puoi visualizzare l’URL incorporato in anteprima) li rende ideali per essere sfruttati.

Gli attacchi di truffa qr code vengono condotti seguendo un processo sistematico. Gli aggressori adottano un approccio metodico:

• Creazione di codici QR dannosi: strumenti online gratuiti generano codici QR collegati a siti di phishing o a domini che ospitano malware.
• Distribuzione: i codici vengono inseriti in email di phishing, fatture false, manifesti pubblici, menu di ristoranti o persino sovrapposti a codici QR legittimi.
• Esche di social engineering: i messaggi ti invitano a un’azione immediata, come “Scansiona per sbloccare uno sconto” o “Verifica il tuo account”.
• Sfruttamento: la scansione ti reindirizza a pagine di accesso contraffatte, a siti per la raccolta di credenziali o al download di malware. Ad esempio, un attacco del 2023 ha imitato le fatture aziendali, indirizzando i dipendenti a portali di pagamento falsi.

Combinando vettori di attacco fisici e digitali, il quishing rappresenta una minaccia multiforme sia per le organizzazioni che per i singoli.

Gli attacchi di quishing prosperano all’intersezione tra spazi fisici e digitali, sfruttando sia la tua curiosità che i flussi di lavoro organizzativi. I criminali informatici distribuiscono strategicamente i qr code fake in ambienti ad alto traffico o ad alta fiducia per massimizzare le probabilità di successo. Gli obiettivi principali includono:

• Luoghi pubblici: i codici QR manomessi compaiono sui menu dei ristoranti, sui parchimetri, sui manifesti nei negozi o sui volantini di eventi, spesso promettendo sconti, accesso WiFi o contenuti esclusivi.
• Email/SMS di phishing: gli aggressori si spacciano per banche, agenzie governative o fornitori, inserendo codici QR in fatture false, avvisi di “verifica dell’account” o notifiche di spedizione.
• Etichette dei prodotti: gli autori degli attacchi sostituiscono i codici QR legittimi sulle confezioni dei prodotti con link a siti web contraffatti o al download di malware.
• Documenti condivisi: trovi codici QR nascosti in PDF o fogli di calcolo interni, mascherati da sondaggi o materiali di formazione.
• Settori presi di mira: energia, manifattura, assicurazioni e servizi finanziari, ovvero settori con catene di approvvigionamento complesse e transazioni di alto valore

Ad esempio, una campagna del 2024 ha preso di mira le catene di ristoranti sovrapponendo fake qr code ai menu stampati, reindirizzando i clienti a pagine di raccolta delle credenziali che imitavano i programmi fedeltà.

Il quishing sfrutta la fiducia che riponi nei codici QR, ma le organizzazioni possono mitigare i rischi combinando la formazione degli utenti, le misure di sicurezza tecniche e politiche proattive. Di seguito trovi le strategie chiave per difenderti da queste minacce ibride.

Migliori pratiche di vigilanza degli utenti

• Verifica le fonti dei codici QR: prima di scansionare codici presenti in email, SMS o spazi pubblici, conferma la loro legittimità con il mittente tramite un canale separato (ad esempio, una telefonata).
• Controlla gli URL visualizzati in anteprima dagli scanner: verifica la presenza della crittografia HTTPS, di domini con errori di battitura (ad esempio “arnazon.com”) o di link abbreviati sospetti.
• Evita di condividere dati sensibili: non inserire mai credenziali o dettagli di pagamento dopo aver scansionato un codice QR, a meno che tu non abbia confermato l’autenticità del sito.
• Utilizza app di scansione QR sicure: scegli app integrate con antivirus che segnalano i link dannosi.

Misure di sicurezza organizzative

• Simulazioni di phishing: conduci regolarmente esercitazioni di attacchi di quishing per testare i tassi di risposta dei dipendenti e identificare le lacune nella consapevolezza.
• Autenticazione a più fattori (MFA): applica l’autenticazione MFA su tutti i sistemi critici per neutralizzare l’impatto delle credenziali rubate dai siti di quishing.
• Aggiornamenti della sicurezza email: implementa i protocolli DMARC, SPF e DKIM per bloccare le email contraffatte contenenti qr code fake dannosi.
• Protezione degli endpoint: installa strumenti anti-malware con scansione in tempo reale per rilevare e mettere in quarantena i payload distribuiti tramite link di quishing.
• Architettura zero trust: limita l’accesso alla rete agli utenti e ai dispositivi verificati, riducendo i movimenti laterali in caso di violazione.

Protezioni basate su policy

• Accesso con privilegi minimi: limita le autorizzazioni dei dipendenti per ridurre al minimo i danni causati da account compromessi.
• Linee guida per l’utilizzo dei codici QR: vieta la scansione di codici provenienti da fonti non attendibili nelle comunicazioni aziendali.
• Codici fisici a prova di manomissione: controlla i codici QR visibili al pubblico (ad esempio, poster, etichette dei prodotti) per individuare segni di attacchi di sovrapposizione.

Priorità di formazione

• Individuazione del social engineering: forma i team a riconoscere le esche basate sull’urgenza, come “Scansiona per evitare la sospensione dell’account”.
• Protocolli di segnalazione: stabilisci canali chiari che permettano ai dipendenti di segnalare codici sospetti senza timore di ritorsioni.

Incorporando queste pratiche nei framework di sicurezza informatica, le aziende possono ridurre il successo del quishing mantenendo l’agilità operativa.

La tecnologia è fondamentale per contrastare gli attacchi di quishing, combinando strumenti di rilevamento avanzati con strategie organizzative proattive per neutralizzare le minacce basate sui codici QR. Di seguito trovi le principali difese tecnologiche e procedurali che le aziende possono implementare.

Soluzioni di sicurezza

• Motori di analisi dei codici QR: soluzioni di sicurezza email specializzate utilizzano modelli di visione artificiale per scansionare le email alla ricerca di codici QR, decodificare gli URL incorporati e valutarne il rischio usando il machine learning, addestrato su decenni di dati di phishing qr code. Ad esempio, Cloudflare elabora i codici QR in tempo reale, esegue la scansione dei link decodificati e li incrocia con database di minacce per bloccare i contenuti dannosi.
• Sandboxing in linea: piattaforme come Proofpoint estraggono i codici QR dagli allegati (ad esempio PDF) e simulano le interazioni con gli URL in ambienti isolati per rilevare malware o raccoglitori di credenziali prima della consegna. Secondo Microsoft, questa scansione pre-consegna ha bloccato circa 1,5 milioni di tentativi di quishing al giorno nel 2024.
• Rilevamento delle minacce basato sull’intelligenza artificiale: Microsoft Defender per Office 365 utilizza l’estrazione di immagini per identificare i codici QR nelle email, analizza le strutture degli URL tramite ML e blocca i link sospetti usando regole euristiche.

“I fornitori di sicurezza email legacy e la maggior parte degli strumenti di sicurezza email basati su API hanno grandi difficoltà a rilevare questi attacchi”, scrive Tim Bedard, direttore di IBM Expert Labs Sales. “Questo perché questi strumenti scansionano i messaggi email alla ricerca di link sospetti noti, ma non scansionano le immagini alla ricerca di link nascosti all’immagine con qr code fake dannosi.”

Misure organizzative

• Generatori di codici QR sicuri: utilizza strumenti approvati dall’azienda con date di scadenza incorporabili e liste di domini consentiti per assicurarti che i codici rimandino solo a URL verificati.
• Segmentazione della rete: isola i dispositivi IoT e le reti degli ospiti dai sistemi critici per contenere le violazioni causate da malware collegati al quishing.
• Sicurezza API per integrazioni di terze parti: monitora i flussi di lavoro basati su codici QR (ad esempio, portali dei fornitori, sistemi di inventario) per individuare chiamate API anomale che indicano un uso improprio delle credenziali.
• Firme digitali per codici QR: implementa il tagging crittografico (ad esempio, standard QR-Code 2.0) per verificare l’autenticità e rilevare i codici manomessi negli spazi fisici.
• Ricerca delle minacce con UEBA: implementa l’analisi del comportamento di utenti ed entità (UEBA) per segnalare attività post-scansione insolite, come esportazioni improvvise di dati dall’archiviazione cloud.

Bedard incoraggia i leader a “difendere la propria organizzazione dalle email inviate da fornitori e partner potenzialmente compromessi. Proofpoint Supplier Threat Protection usa un’intelligenza artificiale avanzata e le più recenti informazioni sulle minacce per rilevare gli account dei fornitori che sono stati compromessi e dare priorità a quelli che devono essere investigati.”

Formazione e vigilanza umana

“I tuoi dipendenti e clienti sono la tua prima linea di difesa. Assicurati che ricevano una formazione sulla sicurezza relativa a tutti i tipi di attacchi di phishing”, aggiunge Bedard.

• Simulazioni di cybersecurity: lo strumento di simulazione di phishing di Proofpoint esegue esercitazioni di quishing adattive, personalizzando gli scenari in base ai ruoli e ai livelli di competenza dei dipendenti.
• Apprendimento interattivo: le piattaforme Security Awareness Training reindirizzano i dipendenti che non superano le simulazioni a micro-formazioni che spiegano i segnali di allarme dei codici QR, come URL non corrispondenti o esche basate sull’urgenza.
• Cultura della segnalazione: crea canali semplici che consentano ai dipendenti di segnalare codici sospetti. L’integrazione di Proofpoint dell’analisi contestuale basata sull’intelligenza artificiale con la segnalazione degli utenti aiuta a identificare nuovi modelli di attacco.

Combinando strumenti di rilevamento all’avanguardia con una formazione rigorosa, le organizzazioni possono stare al passo con le tattiche in continua evoluzione del quishing, promuovendo al contempo una mentalità incentrata sulla sicurezza in tutti i team.

Proofpoint offre una protezione end-to-end contro il quishing attraverso il rilevamento avanzato delle minacce, il sandboxing pre-consegna e la formazione sulla sicurezza incentrata sull’utente. Il suo motore di scansione dei codici QR proprietario decodifica gli URL incorporati nelle email e negli allegati, analizzandoli in tempo reale tramite l’intelligenza artificiale comportamentale e le informazioni sulle minacce provenienti da oltre 230.000 clienti in tutto il mondo. Il sandboxing pre-consegna isola i link sospetti, bloccando i qr code fake dannosi prima che raggiungano le caselle di posta elettronica: un vantaggio fondamentale rispetto alle soluzioni post-consegna.

Per le aziende, Proofpoint Security Awareness Training integra simulazioni di quishing e iscrizione automatica degli utenti vulnerabili a corsi di formazione adattivi per combattere tattiche in continua evoluzione come la truffa phishing con qr code e i raccoglitori di credenziali basati su QR. Le difese multilivello, tra cui NexusAI e il sandboxing degli URL, neutralizzano il 99,99% delle minacce email, mentre integrazioni come PhishAlarm ti permettono di segnalare i codici sospetti in modo semplice. Combinando l’analisi alla velocità delle macchine con la tua vigilanza, Proofpoint protegge le organizzazioni dai rischi ibridi del quishing, proteggendo l’87% delle aziende Fortune 100. Contatta il team Proofpoint per saperne di più.