Nuovi pericoli di attacchi phishing, sempre più sofisticati
Le insidie che si nascondono dietro la rete per carpire i nostri dati sono sempre più sofisticate. Recentemente, grandi colossi come Uber, eBay, Google, Amazon e WhatsApp, ad esempio, hanno introdotto la passkey per proteggere i dati. Ma i tentativi di accesso “pirata” (phishing) continuano, imperterriti, tramite tecniche sempre più sofisticate per rubare la nostra identità e, infine, il nostro portafoglio. Oggi vi parleremo dei nuovi attacchi del cybercrimine sfruttando il codice QR, sempre più presente nella nostra vita. Di fatto, molti commerci e strutture ricettive hanno sostituito l loro proposte cartacee con il codice QR. Cerchiamo di capire in che cosa consiste questa nuova truffa e, soprattutto, come possiamo evitarla.
Per approfondire:
Phishing, Smishing e Vishing, sapere riconoscere le tre “ing” truffaldine
Iscriviti gratuitamente sul canale Telegram, cliccando qui
oppure su Whatsapp, cliccando qui per non perdere tutte le novità
Come proteggere WhatsApp e Google con le passkey, 3 consigli per mettere al sicuro i tuoi dati
Il phishing tramite QR code, detto anche Qrishing, un’altra “-ing“
Gli attacchi di phishing tramite QR code sono una forma di inganno informatico che sfrutta la popolarità e la semplicità di questa tecnologia per indurre gli utenti a visitare siti web malevoli o a scaricare malware sui propri dispositivi. Il phishing tramite QR code si chiama anche QRishing, e consiste nell’inviare o diffondere codici QR falsi o alterati che, una volta scansionati, reindirizzano le vittime verso pagine web che imitano servizi legittimi e richiedono l’inserimento di dati personali, finanziari o di accesso.
In alternativa, i codici QR possono portare a siti web che attivano il download automatico di software dannosi, come spyware o ransomware, che possono rubare informazioni sensibili, monitorare le attività online o bloccare i dispositivi e richiedere un riscatto. Infatti, l’accesso al codice QR è molto semplice: basta una semplice fotocamera del telefono per scansionare un codice QR e ottenere un URL, visitabile con un semplice tocco di un dito. Attenzione!
Gli attacchi di phishing tramite QR, in aumento (22% del totale solo ad ottobre)
Gli attacchi di phishing tramite QR code sono in aumento e rappresentano una minaccia molto pericolosa per la sicurezza degli utenti, in quanto sono difficili da riconoscere e da prevenire. Secondo una ricerca di Hoxhunt, il 22% degli attacchi di phishing nell’ottobre 2023 ha utilizzato questo tipo di canale per diffondersi. Tutto ciò risulta molto preoccupante, anche perché lo stesso trend delle campagne phishing è in forte crescita.
Infatti, i codici QR non mostrano il link a cui si riferiscono e possono essere facilmente contraffatti o sostituiti. Inoltre, molti utenti non sono consapevoli dei rischi associati a questa tecnologia e tendono a fidarsi dei codici QR che ricevono via email, sui social media o su altri canali.
I QR codes, immagini leggibili
I codici QR sono immagini leggibili tramite apposito hardware/software costituite da una matrice che trasmette informazioni. Questi codici sono stati inventati da un’azienda automobilistica giapponese nel 1994 come tecnica per connettere il mondo digitale e quello fisico. Inizialmente venivano utilizzati per tracciare le parti dei veicoli durante i processi di produzione; tuttavia, l’utilizzo dei codici QR è cresciuto notevolmente grazie alla diffusione degli smartphone.
Come proteggersi dal phishing tramite QR code
Per proteggersi dal phishing tramite QR code, è necessario adottare alcune precauzioni, come:
- Verificare sempre la fonte e il contesto del codice QR prima di scansionarlo. Se il codice QR proviene da un mittente sconosciuto o sospetto, o se il messaggio che lo accompagna è ambiguo o urgente, è meglio ignorarlo o eliminarlo;
- Utilizzare un’applicazione di scansione dei codici QR che mostri l’URL (la pagina dove si arriva) a cui si riferisce il codice prima di aprirlo. In questo modo, si può controllare se l’indirizzo è legittimo e sicuro, e se corrisponde al servizio o al contenuto promesso;
- Evitare di scansionare i codici QR stampati su manifesti, volantini o altri materiali pubblicitari che potrebbero essere stati alterati o sostituiti da hacker. Se possibile, confrontare il codice QR con quello presente sul sito web ufficiale dell’azienda o dell’organizzazione;
- Mantenere aggiornato il sistema operativo e il software antivirus del proprio dispositivo e attivare le opzioni di sicurezza come il blocco dello schermo e la crittografia dei dati;
- In caso di dubbio o di sospetto, non inserire mai le proprie credenziali o informazioni personali su siti web non verificati e non accettare mai il download di file sconosciuti o non richiesti.