Il Quishing è il nuovo Phishing: cresce la nuova cyber truffa che sfrutta i QR Code

Il termine Quishing non ti è nuovo e vuoi scoprire che cos’è? Ebbene, si tratta di una fresca tipologia di attacco informatico che ha a che fare niente meno che con i QR Code. Secondo una ricerca di Harmony Email, azienda facente parte del centro Check Point Software Technologies, il Quishing ha registrato solo nell’ultimo periodo un aumento del 597%: un dato decisamente preoccupante. Questo perché, secondo il ricercatore e analista Jeremy Fuchs, i QR Code «sono un ottimo modo per ingannare gli utenti», poiché quest’ultimi sono abituati a scansionarli quasi quotidianamente e non sempre risulta semplice cogliere avvisaglie di truffe.
Ma come funziona questo attacco informatico? Perché servirsi di una consulenza Cyber Security per evitarlo? Scopriamolo.

Quishing: cos’è e qualche premessa

Partiamo dal significato: quishing non è altro che il risultato di una crasi tra QR e phishing, una classica forma di truffa online ad Ingegneria Sociale in cui i malevoli cercano di ingannare le persone facendosi passare per entità affidabili, al fine di ottenere informazioni sensibili come password, dati finanziari o personali.

Il Quishing, dunque, è un’evoluzione del phishing, la quale si serve, però, dei QR Code.
Ma cosa sono i QR Code e perché sono diventati così comuni al giorno d’oggi?

I QR Code, (acronimo di “Quick Response code“), sono codici a barre bidimensionali che possono essere rapidamente scannerizzati utilizzando la fotocamera di uno smartphone o di altri dispositivi dotati di lettore QR. Sono costituiti da moduli neri disposti su uno sfondo bianco e possono contenere una varietà di informazioni, come link web, testi, numeri di telefono o altre informazioni.

L’ampia diffusione dei QR Code in diversi contesti è dovuta alla loro facilità d’uso e alla rapidità con cui forniscono informazioni. Tuttavia, sono saliti alla ribalta solo durante la pandemia da COVID-19, in quanto utilizzati per facilitare la registrazione dei visitatori in luoghi pubblici, per accedere a menu digitali nei ristoranti e per agevolare i pagamenti digitali senza contatto.

LEGGI ANCHE: Security Database: Guida Definitiva alla Sicurezza dei Dati

Ma come funziona il Quishing al netto di tutte queste premesse?

Il Quishing consiste nella sostituzione di un QR Code benevolo (quelli, ad esempio, usati per i pagamenti) in un falso QR Code. Una volta che l’utente inquadra il QR Code, questo dirotta il malcapitato su un sito malevolo dove gli verrà richiesto, ad esempio, l’inserimento di dati sensibili, come dati personali o bancari.

Solitamente, la truffa del Quishing avviene tramite mail: l’utente riceve un messaggio con finte istruzioni per accedere ad un fantomatico account temporaneamente disattivato. Nel testo, vi sono poi scritte tutte le istruzioni per riattivarlo ed un QR Code da scansionare per facilitare il processo. Da lì, la truffa del Quishing.

Il quishing, però, si può trovare anche in altre forme del tipo:

• Malware: vengono progettati QR Code per scaricare e installare malware sul dispositivo della vittima dopo la lettura del codice;
• Pubblicità ingannevole: alcuni QR Code su pubblicità possono portare a siti web che promettono offerte speciali o sconti, ma in realtà sono truffe per ottenere informazioni personali o finanziarie.

Come difendersi dal Quishing?

Nel vasto panorama digitale, dove i codici QR si sono integrati nella nostra quotidianità, è cruciale essere consapevoli delle possibili truffe che li circondano. Al fine di proteggere la propria sicurezza online, è indispensabile adottare alcune precauzioni essenziali:

• Verifica la fonte: prima di scannerizzare un QR Code, assicurati che provenga da una fonte affidabile. Se lo hai ricevuto tramite email o messaggi, verifica attentamente l’affidabilità dell’emittente per evitare possibili truffe;
• Non inserire informazioni sensibili: la regola d’oro è evitare di inserire informazioni personali o finanziarie su siti raggiunti tramite QR Code, a meno che tu non sia assolutamente sicuro della loro autenticità. La cautela è la chiave per proteggere i tuoi dati sensibili;
• Mantieni il software aggiornato: per garantire la massima sicurezza, è fondamentale mantenere aggiornato il software del tuo dispositivo, compreso l’applicativo per la scansione dei QR Code. Le costanti patch di sicurezza sono cruciali per contrastare le minacce online in evoluzione;
• Sii cauto con offerte troppo allettanti: l’entusiasmo per offerte irresistibili potrebbe essere un campanello d’allarme. Se un QR Code promette sconti straordinari o sembra eccessivamente vantaggioso, mantieni uno spirito critico e valuta attentamente la sua autenticità per evitare di cadere in potenziali trappole truffaldine.

LEGGI ANCHE: Penetration Test: cos’è e perché è importante per le aziende

Quishing: e le aziende come possono difendersi?

Per difendersi dal Quishing, le aziende possono adottare una serie di misure preventive puntuali:

• Educazione: fornire formazione ai dipendenti e ai clienti sulla sicurezza digitale è il primo passo. Informare su come riconoscere QR Code legittimi e sensibilizzare sulle potenziali minacce contribuisce a creare consapevolezza e a preservare la sicurezza dei dati aziendali;
• Sistemi di verifica: implementare sistemi di verifica e autenticazione può ridurre il rischio di scannerizzare codici QR fraudolenti. Questi sistemi contribuiscono a garantire che i QR Code siano autentici e sicuri per l’uso;
• Monitoraggio attivo: le aziende dovrebbero monitorare attivamente l’uso dei QR Code nei loro materiali promozionali, pubblicità e prodotti. Attuare, ad esempio, un Vulnerability Assessment consente di individuare rapidamente eventuali attività sospette e adottare misure correttive tempestive;
• Integrazione di tecnologie di sicurezza avanzate: introdurre tecnologie di sicurezza avanzate nei sistemi digitali aziendali è fondamentale (come la protezione della rete aziendale). Ciò può includere misure di crittografia, autenticazione a due fattori e altre soluzioni per proteggere i dati e prevenire la manipolazione di QR Code;
• Mantenimento software aggiornato: assicurarsi che i software utilizzati per la scansione dei QR Code e altri processi digitali siano regolarmente aggiornati. Le patch di sicurezza possono fornire difese aggiuntive contro le minacce emergenti;
• Collaborazione con esperti del settore: collaborare con esperti del settore della sicurezza informatica è un ulteriore passo importante. Ottenere consulenze specializzate può aiutare a identificare e affrontare le nuove minacce in modo proattivo.

Queste misure, implementate in modo sinergico, contribuiscono a garantire la sicurezza dei QR Code e a proteggere l’integrità delle attività aziendali in un contesto digitale in continua evoluzione.

Perché è importante per la tua azienda fare un test di Cyber Security?

Investire in un test di cybersecurity è un passo cruciale per garantire la sicurezza delle tue informazioni e per difendersi dal Quishing. La crescente complessità delle minacce digitali rende essenziale comprendere la robustezza delle tue difese informatiche. Attraverso un test di cybersecurity, puoi identificare potenziali vulnerabilità nei tuoi sistemi e nelle tue procedure, permettendoti di adottare misure preventive prima che diventino punti deboli sfruttati da malintenzionati. Non aspettare che un attacco metta in pericolo la tua sicurezza online; agisci proattivamente per proteggere i tuoi dati insieme a Brain Computing!

Vuoi fare un test per mettere alla prova il livello di sicurezza dei tuoi dati aziendali?