Skip to main content
Tecniche di phishing post Covid: il QRishing

Tecniche di phishing post Covid: il QRishing

| Maria Sole Scollo | cybersecurity month 2022

Articolo letto 375 volte

Con l'avvento del Green Pass, conseguente come sappiamo a quello del Covid-19, si è rapidamente diffuso uno strumento tecnologico che quasi nessuno conosceva prima (nonostante i suoi quasi 30 anni di utilizzo): il codice QR.

foto di Maria Sole Scollo, Consortium GARR
Maria Sole Scollo, Consortium GARR

Questa sorta di codice a barre a matrice, di forma quadrata, consente di immagazzinare molte informazioni (come testi, URL, contenuti grafici e multimediali) e, complice la rapidità e facilità di creazione ed utilizzo, è presto diventato di uso quotidiano per chiunque abbia uno smartphone (quindi, di fatto, per chiunque).

Semplicemente inquadrando un Quick Response Code con la fotocamera del proprio smartphone, è infatti possibile, ad esempio, visualizzare il menù di un ristorante o le informazioni sulle opere esposte in un museo, ma anche accedere al proprio conto corrente ed effettuare pagamenti.

Come ben sappiamo però, l'avvento di nuove tecnologie porta sempre con sé insieme a nuovi benefici, anche nuovi rischi.

È il caso del QRishing (codice QR + phishing).

Si tratta di una ormai consolidata tecnica di truffa (il phishing) in una veste nuova (il codice QR).

Con il QRishing un utente viene indotto con l'inganno a scansionare un codice QR malevolo creato ad hoc (che contenga quindi link a siti di phishing ma anche che consenta di scaricare del malware sul proprio dispositivo).

Il QRishing altro non è che il tentativo di prendere all'amo un utente distratto attraverso un apparentemente innocuo codice QR. Se infatti questi codici possono contenere così tante informazioni di natura così diversa mascherandole dietro l'immagine di un quadrato bianco e nero, sarà molto semplice indurre un utente sprovveduto a visitare un sito web contraffatto (ad esempio quello di una banca) attraverso la semplice scansione di un codice QR e a rubarne le credenziali di accesso.

Non solo, attraverso un codice QR, è anche possibile far scaricare del codice malevolo sullo smartphone del malcapitato (magari un ransomware), facendo credere che si tratti di qualche app assolutamente innocua.

Purtroppo ancora oggi non proteggiamo abbastanza i nostri smartphone, nonostante siano dei veri e propri scrigni di dati sensibili, ad esempio quasi nessuno utilizza un antivirus (cosa che invece è naturale fare con il proprio pc).

La percezione del rischio che abbiamo imparato (in parte) ad avere con i computer, fatica ad entrarci in testa per quanto riguarda gli smartphone che ancora chiamiamo "telefonini" nonostante abbiano ormai ben altre funzioni.

Se aggiungiamo poi il fattore novità, risulta ancora più difficile percepire il rischio che può nascondersi dietro l'utilizzo così semplice e vantaggioso di uno strumento come il codice QR.

La prima regola per evitare di cadere in trappola, quindi, resta sempre quella di proteggere i nostri dispositivi con la stessa attenzione che riserviamo per la carta di credito o le chiavi di casa.

Protezione quindi sia fisica (il furto di uno smartphone non corrisponde unicamente alla perdita di un oggetto di valore, ma soprattutto espone al rischio di diffusione dei nostri dati personali, mettendo a rischio persino la nostra identità) che a livello software, attraverso l'utilizzo di applicazioni di sicurezza come gli antivirus.

Ma un'ottima serratura non serve a niente se noi stessi apriamo la porta al ladro... per questo la seconda regola da seguire per evitare di cadere in trappola è: fidarsi NON è bene, controllare è molto meglio.

In questo caso specifico il consiglio è controllare il link cui rimanda il codice QR PRIMA di aprirlo, espandendolo se si tratta di URL abbreviato.

Nel caso in cui questo non sia possibile, conviene chiedersi quanto sia sicura la fonte da dove proviene il codice QR ed eventualmente evitare di scansionarlo, ad esempio potrebbe trovarsi su un volantino che pubblicizza uno sconto da non lasciarsi sfuggire, in generale ciò che fa leva sul nostro senso di curiosità, avidità, urgenza, ecc.. dovrebbe sempre metterci in guardia (proprio come per il phishing via e-mail).

Non dimentichiamo di effettuare anche un controllo fisico di un codice QR nel caso in cui sia stampato: infatti l'originale potrebbe essere stato fisicamente sostituito da uno malevolo (magari incollato sopra).

Esiste una tecnica ancora più sofisticata che consente ad un hacker di rubare l’accesso in tempo reale al malcapitato, utilizzando un autentico codice QR: il QRLjacking.

Questo genere di truffa è resa possibile dalla funzionalità QRL (Login with Quick Response code), attraverso la quale alcuni servizi consentono l’autenticazione al proprio portale.

Per fare questo l’hacker copia un vero codice QR (dinamico) dal sito del servizio prescelto (es quello di Whatsapp web, ma anche di una banca) e lo incolla su una pagina web creata ad hoc (phishing web site).

Deve quindi indurre l’ignaro utente ad entrare nella sua pagina, anziché in quella autentica, e questo è possibile attraverso l’invio di e-mail di phishing. Quando l’utente accede alla finta pagina, procede all’autenticazione attraverso il vero codice QR (apposto come detto dall’hacker sul sito falso). A questo punto l’hacker riesce ad accedere con l’account della vittima, sul vero portale del servizio.

Anche in questo caso quindi, è sufficiente mettere in pratica le buone abitudini di sempre per non cadere in trappola: non cliccare su link inviati per e-mail e porre la massima attenzione al link del sito sul quale ci troviamo.

Tornando al Green Pass, grazie al quale i codici QR sono entrati a far parte della nostra vita quotidiana, vale la pena sottolineare che la sicurezza in questo caso riguarda la protezione dei dati personali in esso contenuti, pertanto la sua condivisione, soprattutto via social network, è assolutamente da evitare per proteggere la propria privacy.

Maria Sole Scollo: IT security expert presso il Consortium GARR, fa parte di GARR-CERT dal 2002 (cert.garr.it). Si occupa della gestione degli incidenti di sicurezza, supporto agli utenti e pubblicazione di security alert, oltre che di formazione relativamente a temi di cybersecurity. Si dedica inoltre allo studio e all’analisi delle fonti di Cyber Intelligence per la protezione operativa dei dati.

Ti è piaciuto questo articolo? Faccelo sapere!
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.

Voto attuale: