Probabilmente ti sei già imbattuto in quei piccoli codici quadrati in bianco e nero da scansionare, noti con il nome di codici QR. Questa grafica è molto utilizzata perché consente di ottenere rapidamente ulteriori informazioni direttamente sullo smartphone e di accedere agli account utente. Ma come spesso accade, anche dietro questi quadratini si nascondono delle insidie. Di fatto, i criminali informatici ricorrono sempre più spesso al quishing come truffa che sfrutta il codice QR. Continua a leggere per scoprire cos’è il quishing, come funziona e quali sono le conseguenze di un attacco andato a buon fine. Scopri anche come navigare in tutta sicurezza e proteggere la tua privacy con la protezione anti-phishing integrata di Avira Free Security.
Guida facile ai codici QR
QR sta per “Quick Response” (a risposta rapida): si tratta di minuscoli codici 2D che contengono molte informazioni in uno spazio estremamente piccolo. Spesso li vediamo su volantini e manifesti, ma i codici QR vengono sempre più utilizzati anche come mezzo di verifica su biglietti aerei e di concerti.
L’aspetto chiave è la praticità per l’utente. Con il minimo sforzo, otterrai le informazioni più importanti o verrai indirizzato direttamente a una pagina Web specifica. Tutto ciò di cui hai bisogno è uno smartphone con fotocamera. Ma la praticità semplifica le cose anche per i criminali informatici. Ad esempio, gli hacker possono nascondere un link dannoso o un ransomware dietro a un codice QR dall’aspetto innocente. Questa forma di phishing basata sull’uso di codici QR è nota tra i professionisti del settore come quishing.
Cos’è il quishing?
Il quishing è una minaccia alla sicurezza su Internet in cui i criminali informatici mirano a ottenere informazioni personali e riservate, nonché dati finanziari. I dati rubati vengono quindi usati in modo improprio per altre attività criminali, truffe e furto di identità.
Il quishing è simile a un tentativo di phishing tradizionale. Nel phishing le potenziali vittime ricevono un’e-mail o un SMS contenente un link a un sito Web dannoso. In alternativa, viene installato un ransomware sul computer tramite un allegato. Con il quishing, l’inoltro non avviene attraverso un link di testo tradizionale, ma tramite un codice QR.
Il pericolo: dal momento che il link è nascosto dietro un’immagine e non compare nel testo, è più difficile rilevare il quishing come minaccia. Anche i sistemi di sicurezza e-mail raramente intercettano la minaccia, perché riconoscono il codice QR come un’immagine innocua.
Come funziona il quishing?
I criminali creano un codice QR personalizzato che indirizza le potenziali vittime a un sito Web dannoso. Questi codici QR vengono utilizzati offline e online per ingannare le vittime ricorrendo a tecniche di ingegneria sociale. Che si tratti di manifesti o volantini tradizionali o di social media e messaggi e-mail, pensa sempre alla sicurezza come prima cosa e fai attenzione quando scansioni un codice QR.
Per scansionare il codice QR dallo smartphone, dovrai utilizzare un’app speciale o semplicemente la fotocamera. Lo smartphone interpreta quindi il codice QR e ti reindirizza all’URL di destinazione nascosto dietro il codice. Si aprirà il browser e la pagina verrà caricata. È qui che si annida il pericolo: i link di phishing basati su testo sono facili da individuare, soprattutto se compaiono all’interno di un’e-mail. Con il quishing, invece, non è semplice capire se il codice QR sia dannoso o meno. Inoltre, non è possibile verificare il link cliccando sull’immagine con il pulsante destro del mouse.
Cosa succede quando si scansiona un codice QR falso?
Le conseguenze del quishing sono simili a quelle di un attacco phishing andato a segno. Le ignare vittime vengono reindirizzate a un sito Web contraffatto oppure sul loro dispositivo viene installato un malware.
- Link dannoso: con questo metodo collaudato, il codice QR scansionato porta a un sito Web che all’apparenza non sembra sospetto perché potrebbe basarsi su un sito che conosci. L’obiettivo è farti accedere in modo da intercettare i tuoi dati di accesso.
- Malware: semplicemente visitando il sito, viene scaricato e installato nel tuo dispositivo un software dannoso, che può paralizzare o bloccare il sistema o restare in agguanto spiando le tue attività. Questo permette ai criminali informatici di accedere al tuo computer e ai dati e documenti sensibili.
Come riconoscere gli attacchi quishing?
Prima di tutto: è impossibile stabilire se un codice QR sia legittimo o dannoso. I quadratini neri casuali su sfondo bianco sono del tutto privi di significato senza uno scanner appropriato. Tuttavia, il contesto e i fattori circostanti forniscono alcuni indizi per stabilire se il codice è legittimo o rientra nell’ambito di un tentativo di phishing tramite codice QR.
- In un’e-mail: come nel caso del phishing tradizionale, controlla il messaggio per verificare la presenza di errori ortografici e grammaticali. L’indirizzo e-mail del mittente sembra legittimo? Anche l’urgenza artificiale, il ricatto emotivo e la manipolazione sono segnali di frode e di quishing online.
- Su manifesti/volantini: sono davvero poche le persone che si aspettano di imbattersi in una frode online su manifesti e volantini. In ogni caso controlla attentamente il codice QR. Se è un adesivo palesemente attaccato in secondo momento, non scansionarlo mai. Nel caso dei volantini, è importante prestare attenzione alla loro provenienza: li hai trovati in giro o provengono da una fonte affidabile?
Come puoi proteggerti dal quishing?
In pratica: che si tratti di un link basato su testo o di un codice QR, presta sempre attenzione, soprattutto se non sai da dove proviene. Non dare mai per buono un messaggio se non avevi in previsione di riceverlo. L’origine del messaggio, così come la struttura e il contenuto, forniscono indizi sul fatto che si tratti di una richiesta legittima o di un tentativo di quishing.
- Controlla l’URL: la maggior parte delle app visualizza l’URL dietro un codice QR prima di aprirlo. Se sembra sospetto o è mascherato da un servizio come bit.ly, fai attenzione. Scopri come controllare la sicurezza di un sito Web per assicurarti che il sito sia affidabile.
- Verifica il mittente: chi ha creato il codice QR? Conosci la persona o l’azienda? Ti aspettavi il codice, ad esempio nell’ambito del processo di registrazione a un servizio?
- Gestisci i tuoi dati con cura: fai attenzione alle tue informazioni personali. Considera i rischi dal momento che non tutti i siti e i servizi hanno bisogno delle tue informazioni sensibili, quindi controlla se ci sono alternative che non le richiedono.
- Evita i download: se non conosci la fonte o ti sembra sospetta, non scaricare mai nulla dal sito Web a cui ti rimanda un link.
- Autenticazione aggiuntiva: attiva l’autenticazione a due fattori (2FA) o l’autenticazione a più fattori (MFA) per account importanti contenenti informazioni sensibili. In questo modo sarai ben protetto anche nel caso in cui terze parti ottengano un accesso non autorizzato ai tuoi dati di accesso, inclusa la password.
Proteggiti dal quishing con la funzionalità di protezione anti-phishing di Avira Free Security
Non sei sicuro che un codice QR e il link associato siano legittimi? I criminali informatici stanno diventando sempre più bravi a mascherare le loro truffe. Con la funzionalità di protezione anti-phishing di Avira Free Security, riuscirai a individuare i link dannosi in tempo reale.
Lo strumento impedisce l’apertura di popup infetti, identifica i siti Web di phishing e previene l’hijacking del browser. Rileva anche le applicazioni indesiderate nei tuoi download e ti avvisa immediatamente.
