Attacchi informatici: attenzione all’esca con QR code

La sicurezza informatica è una continua riproposizione dello schema “guardie e ladri”. Chi attacca cerca sempre nuove strade per fare breccia nei sistemi di utenti e imprese. Che a loro volta cercano di proteggersi tramite prevenzione, sorveglianza e tutele assicurative.

Di recente si è fatta strada una nuova frode: il Quishing, fusione tra QR Code e phishing. Si tratta di un inganno, camuffato da comunicazione attendibile via mail, in cui il link dietro a un QR Code è malevolo.

L’aumento del Quishing

I ricercatori di Harmony Email hanno registrato un incremento del 587% delle truffe di phishing tramite QR code tra agosto e settembre: si tratta di migliaia di attacchi al mese. I QR Code possono essere un buon “nascondiglio” per le truffe. L'immagine può infatti occultare un link pericoloso. E gli utenti, che sono ormai abituati a utilizzare i codici per scaricare video o visualizzare il menu del ristorante, non si insospettiscono se ne ricevono uno via mail.

Come sempre, i truffatori informatici si dirigono dove vedono occasioni propizie. I QR Code lo sono perché la loro adozione è in aumento. Secondo Statista, nel 2022 negli Stati Uniti, sono stati utilizzati da 89 milioni di utenti, per una crescita del 26% rispetto al 2020. Si stima di superare quota 100 milioni entro il 2025.

Come avviene un attacco

Questo è un esempio tipico di Quishing. Gli hacker inviano via mail un QR Code. È in apparenza come altre centinaia, ma in realtà incorpora un link che rimanda a pagine di raccolta delle credenziali. Una pagina, come nel classico phishing, fasulla, che però sfrutta interessi (come servizi a cui sono abbonati) o punti deboli degli utenti (come occasioni e offerte).

Come difendersi

Per difendersi, le raccomandazioni sono le solite (ma mai abbastanza seguite): adottare sistemi in grado di rilevare gli attacchi malevoli e, soprattutto, fare attenzione ai particolari senza cedere a clic impulsivi. Assicuratevi che il testo della pagina di destinazione sia scritto in modo corretto e non sgrammaticato. E leggete con attenzione la Url del sito: potrebbe essere simile ma non identica a quella di piattaforme molto conosciute.