Difficile prevedere le loro mosse, davvero complicato tenersi aggiornati per comprendere quale nuovo stratagemma useranno per farci cadere in trappola. Ecco una nuova variante del phishing informatico, si chiama QRishing.
I “pericoli” della Rete non smettono di sorprenderci, in negativo naturalmente. Gli astuti criminali informatici sono pronti, in ogni momento, ad assaltare come pirati la nave su cui sono custoditi i nostri risparmi.
Il QRishing è una forma di attacco di phishing in cui gli hacker sfruttano i codici QR per rubare informazioni private, installare software dannosi su un dispositivo o indirizzare una persona a un sito Web non sicuro.
Quindi come funzionano questi attacchi? Come puoi evitare di cadere vittima di un attacco QRishing? QRishing sfrutta le tendenze degli utenti di telefoni a scansionare i codici QR per curiosità, noia o necessità.
Ad esempio, l’aggressore può lasciare volantini alla fermata dell’autobus o sui tavoli di ristoranti o caffetterie. Quando una persona scansiona il codice QR con il proprio telefono, pensando che sia una pubblicità o un menu, visualizza un URL, un’immagine o una mappa con le indicazioni per raggiungere una posizione, tra le altre cose.
Da qui in poi, i truffatori si affidano a questa sorta di “ingegneria sociale” per indurre le vittime a condividere informazioni sensibili. Gli hacker possono anche sfruttare vulnerabilità come i bug di WebKit in un browser per impossessarsi del dispositivo della vittima.
Ovviamente, non tutti eseguirebbero la scansione di un codice QR casuale senza un incentivo o una didascalia che spieghi cosa possono aspettarsi di vedere. Quindi i criminali informatici spesso trovano un altro modo per attirare l’interesse delle persone.
QRishing: la nuova trappola è in agguato
Un criminale informatico può prendere un volantino, ad esempio, da un noto istituto finanziario o da un’agenzia governativa. Successivamente, cambiano il codice QR ma mantengono altri dettagli o design e condividono il volantino online.
Possono anche pubblicarli in luoghi pubblici dove le persone possono vedere e scansionare il codice QR. Questo particolare trucco è stato ben segnalato dopo che l’annuncio Coinbase QR Code al Super Bowl 2022 è diventato virale.
Qui, un criminale informatico può creare volantini falsi con un codice QR creato per indirizzare le persone che li scansionano a un sito web dove l’attaccante può rubare i loro dati.
Anche se questo tentativo fallisce, l’aggressore può comunque raccogliere dati sul dispositivo e sulla posizione dal browser della vittima. Peggio ancora, un utente malintenzionato determinato potrebbe utilizzare l’impronta digitale del browser per rintracciare una vittima online.
Questa forma di QRishing fa tipicamente parte dei tradizionali metodi di phishing via e-mail. A differenza dei collegamenti ipertestuali abbreviati, il passaggio del mouse su un codice QR non mostra l’URL di destinazione, quindi, ad esempio, è facile per un truffatore dire a una potenziale vittima di scansionare un codice QR per avere la possibilità di vincere un buono regalo.
La scansione e la lettura di un codice QR richiede principalmente due cose: una fotocamera e un browser per seguire le informazioni nel codice QR. Dato che è così semplice, significa che è semplice anche evitare di cadere vittime di questa nuova forma di phishing.
