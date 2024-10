Non solo, ma vedremo come funziona questo pericolo e come eventualmente difendersi, in modo da non rischiare di incappare in spiacevoli sorprese, perdere soldi o dare i nostri dati a qualche malintenzionato.

Ma forse non tutti i codici QR sono chi pensate che siano, e in alcuni casi potrebbero nascondere una minaccia. Scopriamo quindi cos'è il quishing , un nuovo tipo di attacco informativo che utilizza appunto queste immagini.

Quante volte abbiamo fotografato un codice QR per ottenere delle informazioni? Ormai sono ovunque, dai menu dei ristoranti alle guide nei percorsi naturalistici, nei musei come nelle pubblicità dei marchi.

Indice

Cos'è il quishing

Vista la popolarità dei codici QR, il phishing è stato applicato anche a questa tecnologia. Visto infatti che i codici QR sono ovunque, spesso non pensiamo che possano essere sfruttati per un attacco.

Questi ultimi sono i codici più pericolosi, in quanto potrebbero essere usati dai malintenzionati per reindirizzare gli utenti a siti dannosi.

I codici QR dinamici contengono invece informazioni che possono essere aggiornate o modificate senza per questo cambiare l'aspetto del codice. Questi codici contengono un URL univoco che indirizza gli utenti a un server in cui sono memorizzate le informazioni, che possono essere modificate a piacere. Pensa alle offerte di un prodotto o al monitoraggio dell'inventario.

Ormai sono utilizzati per qualsiasi cosa: dalle pubblicità ai menu dei ristoranti, dai pagamenti all'autenticazione (in questo caso si chiama QRL), delle app (pensa quando devi associare un'app di streaming su smart TV al tuo account) o delle reti, per arrivare alla comunicazione digitale.

Creati nel 1994 dalla compagnia giapponese Denso Wave per tracciare i pezzi nelle fabbriche Toyota, la popolarità di questi codici è cresciuta enormemente negli anni. Dopo la pandemia del 2020, poi, il loro utilizzo è aumentato ulteriormente per favorire il distanziamento sociale.

Il quishing è un crimine informatico risultante dall'unione di due parole, codice QR e phishing. Come immaginerai, quindi, questo tipo di attacco sfrutta i codici QR , ormai onnipresenti, per reindirizzare i malcapitati verso siti fraudolenti, rubare informazioni sensibili o scaricare malware.

Come funziona il quishing

Come abbiamo visto, il phishing avviene quando un malintenzionato ci induce a cliccare su un link, fornire le nostre informazioni personali o installare un malware facendoci pensare di fare una cosa innocua o necessaria.

Il quishing è la stessa cosa, solo che avviene attraverso i codici QR. Questo strumento è particolarmente insidioso, in quanto vedendo un codice QR non abbiamo la minima idea di cosa si nasconda al suo interno. E per questo motivo è il mezzo ideale per un truffatore per eludere le misure di sicurezza incorporandolo in un'email, per esempio.

Come funziona il quishing

Il quishing è infatti una tipologia di attacco di phishing in cui i codici QR vengono utilizzati come stratagemma. La vittima pensa di inquadrare un codice QR innocuo, ma in realtà visiterà un sito web dannoso, un portale di pagamento falso o scaricherà un file contenente malware.

Un attacco di quishing in genere inizia con la creazione di un codice QR che reindirizza a una pagina di accesso fraudolenta (per esempio di una banca) o a un sito che scarica automaticamente un malware.

Il codice viene poi condiviso via email come immagine o allegato, o stampato e attaccato in un'area pubblica, dove è probabile che una persona lo veda e sia invogliata a visitarlo.

A rischio possono essere i nostri dati, soldi e persino i dispositivi

Una volta scansionato il codice QR, alle vittime potrebbe essere richiesto di inserire informazioni sensibili come dettagli personali, dati di accesso a un account o informazioni bancarie. Una volta acquisite queste informazioni sensibili, gli aggressori possono sfruttarle per il furto di identità o la frode finanziaria.

Oppure scaricheranno involontariamente il malware, operazione che può avvenire in automatico e senza che l'utente se ne accorga, oppure attraverso il download di un'app infetta che compromette il dispositivo. In alcuni casi può essere installato un ransomware, con conseguente richiesta di riscatto per recuperare i dati.

Esempi di quishing

Il quishing è salito alla ribalta durante il Super Bowl 2022, quando la pubblicità di Coinbase, che sfruttava un codice QR, ha portato a un aumento significativo dei download dell'app.

Allo stesso tempo, sono state anche sollevate molte preoccupazioni, avallate anche dall'FTC statunitense nel 2023, per il timore che i truffatori potessero usare il codice QR per altri scopi.

Molte truffe hanno sfruttato il quishing in relazione alle criptovalute, utilizzando codici QR per manipolare le vittime e prelevare denaro dai loro conti.

Il QRLJacking: un tipo di quishing particolarmente ingegnoso

I codici QR vengono utilizzati anche come sistema di autenticazione: in questo caso si chiama sistema QRL (Quick Response Login). Questo strumento consente di inquadrare un codice QR invece di inserire email e password, ed è comodo per accedere a un sito o a un'app (per esempio da uno smart TV).

Il sistema è però piuttosto vulnerabile ad attacchi di QRLJacking, tramite i quali i malintenzionati avviano una sessione sul sito web o sull'app di destinazione e clonano il codice QR legittimo.

Il codice QR viene manipolato in modo da reindirizzare gli utenti al proprio server e incorporandolo in una falsa pagina di accesso che imita l'originale.

Il codice QR dannoso viene distribuito tramite email o altri canali, inducendo gli utenti a scansionarlo per accedere.

Un esempio di QRLJacking è stato quando ING Bank ha attivato questo strumento per accedere a un secondo dispositivo scansionando un codice QR.

I criminali informatici hanno manomesso i codici QR legittimi all'interno dell'app in modo da inviare le vittime sui loro server. Questo ha permesso di sottrar loro ingenti quantità di denaro dai conti correnti.