Il Quishing è una variante del phishing che utilizza i QR code per ingannare le vittime e indurle a fornire informazioni sensibili o a eseguire azioni dannose.
Questi attacchi sfruttano la crescente popolarità di questi codici, spesso utilizzati per facilitare accessi rapidi a siti web o per scaricare app, soprattutto dopo l’aumento del loro utilizzo durante la pandemia (es. nei menu digitali o nei biglietti elettronici) e la diminuzione di utilizzo di carta o plastica in un mondo sempre più digitalizzato.
PHISHING
Prima di vedere cosa è il Quishing, occorre ricordare cosa è più in generale il phishing.
I tentativi di phishing sono tecniche utilizzate dai cybercriminali per ingannare le persone e indurle a fornire informazioni sensibili come credenziali di accesso, numeri di carte di credito o dati personali. Questi attacchi si presentano in diverse forme, ma hanno in comune l’obiettivo di sembrare legittimi per guadagnare la fiducia della vittima.
Principali tipi di phishing
Email Phishing
Messaggi di posta elettronica che sembrano provenire da aziende o istituzioni affidabili (es. banche, servizi online). Spesso includono link a siti web contraffatti o allegati dannosi.
Esempio: “Il tuo account è stato bloccato. Clicca qui per verificare le tue informazioni.”
Spear Phishing
Lo spear phishing è un tipo di attacco di phishing che prende di mira uno specifico individuo o gruppo di individui all’interno di un’organizzazione e tenta di indurli con l’inganno a divulgare informazioni sensibili, a scaricare malware o a inviare o autorizzare involontariamente pagamenti all’aggressore.
Esempio: “Ciao Andrea, scarica il file allegato per la revisione del contratto.”
Smishing
Phishing tramite SMS o applicazioni di messaggistica.
Esempio: “Clicca su questo link per confermare un pagamento sospetto sulla tua carta.”
Phishing tramite Social Media
I cybercriminali inviano messaggi o pubblicano annunci ingannevoli su piattaforme come Facebook, Instagram o LinkedIn.
Esempio: “Hai vinto un premio! Inserisci i tuoi dati per riscattarlo.”
Vishing
Phishing tramite chiamate vocali, in cui l’attaccante si spaccia per un operatore di supporto tecnico, una banca, o un ente governativo.
Esempio: “Deve fornire il suo PIN per verificare un accesso non autorizzato al suo conto.”
Clone Phishing
Il phishing clone è un tipo di attacco phishing in cui l’aggressore duplica un’e-mail che qualcuno ha ricevuto in precedenza. Sostituendo malware ai veri allegati dell’e-mail o sostituendo un collegamento dannoso, il cybercriminale tenta di indurre il destinatario a scaricare ed eseguire il malware o a visitare un sito dannoso.
Pharming
Manipolazione del DNS per reindirizzare l’utente verso siti web contraffatti anche se digita correttamente l’indirizzo.
Qhishing
Il quishing è una variante del phishing che utilizza i QR code per ingannare le vittime e indurle a fornire informazioni sensibili o a eseguire azioni dannose.
Segnali per riconoscere il phishing
- Richieste urgenti o minacciose (es. “Rispondi entro 24 ore o perderai l’accesso”).
- Errori grammaticali o di ortografia.
- Indirizzi email o URL sospetti (es. domini simili ma non corretti: “micr0soft.com”).
- Link non corrispondenti alla descrizione (passando il cursore sul link, l’URL visibile è diverso).
QHISHING
Il Quishing sfrutta la fiducia nei codici QR, ma con un po’ di attenzione è possibile proteggersi efficacemente.
Come funziona
- Creazione di un codice QR malevolo:
Gli attaccanti creano un codice QR che punta a un sito web fraudolento o a un file dannoso. - Distribuzione del codice QR:
Il codice viene inserito in documenti, volantini, email o cartelloni fisici.
Può essere camuffato da codice QR legittimo. - Inganno della vittima:
La vittima scansiona il codice con lo smartphone, credendo di visitare un sito affidabile o di eseguire un’azione sicura. - Conseguenze:
La vittima viene reindirizzata a un sito di phishing, dove potrebbe essere indotta a inserire credenziali o informazioni personali.
Potrebbero essere installati malware o software dannosi sul dispositivo.
Esempi
I truffatori distribuiscono QR code malevoli attraverso vari canali, tra cui:
Un’email che sembra provenire dalla banca invita l’utente a scansionare il Qr code per “verificare” il proprio conto.
Un volantino pubblicitario falso promette uno sconto speciale o un premio e invita a scansionare il QR code.
Un QR code fraudolento viene applicato sopra a uno legittimo (es. menu digitale), reindirizzando la vittima a un sito di phishing.
Comunicazioni apparentemente ufficiali che includono codici QR per scaricare applicazioni o accedere a servizi.
Come proteggersi dal Quishing
Con un po’ di attenzione è possibile proteggersi efficacemente.
- Verifica dell’origine:
Scansionare solo codici QR provenienti da fonti affidabili.
Evitare codici QR su email sospette o volantini poco credibili.
Controllare non ci siano adesivi di QR code sopra altri QR code.
- Esaminare il link:
Dopo aver scansionato il codice, controllare l’URL prima di proseguire.
Diffidare di indirizzi con nomi strani o errori ortografici.
- Evitare di inserire informazioni sensibili:
Non fornire dati personali o bancari su siti web raggiunti tramite codici QR, a meno che non si sia assolutamente certi della loro autenticità.
- Mantenere aggiornati i distemi operativi:
Assicurarsi che smartphone e software di sicurezza siano aggiornati all’ultima versione per proteggersi da vulnerabilità note.
- Utilizzare soluzioni di sicurezza:
Usare un antivirus o una soluzione di sicurezza che possa analizzare i link prima di accedervi.