C’è un cartello con un codice QR incollato sopra un altro. A prima vista non si nota, l’adesivo nuovo copre l’originale e porta altrove. Chi lo scansiona crede di pagare il parcheggio o di aprire il menù del ristorante, ma ha appena consegnato i suoi dati su una pagina falsa.
Questo è il qrishing, scritto anche quishing, ed è uno dei vettori cresciuti di più nell’ultimo anno. La parte scomoda per il team di sicurezza è che quasi tutto ciò che è stato messo in piedi per fermare il phishing via email non lo vede arrivare.
Cos’è il qrishing?
Il qrishing è una variante di phishing che usa un codice QR come esca. Al posto di un link testuale, l’attaccante nasconde l’URL malevolo dentro un QR perché la persona lo scansioni e finisca su una pagina fraudolenta.
Il nome nasce dall’unione di QR e phishing, e lo trovi scritto in entrambi i modi, qrishing e quishing, a seconda della fonte. L’obiettivo è quello di sempre (rubare credenziali, dati di pagamento o spingere a installare qualcosa sul dispositivo), ma cambia l’involucro, e quel cambiamento è proprio ciò che lo rende efficace.
Come funziona un attacco di qrishing?
Lo schema è semplice, ed è per questo che funziona.
L’attaccante genera un codice QR falso che punta a una pagina sotto il suo controllo, una copia del portale di accesso di una banca, della posta aziendale o di un gateway di pagamento. Poi lo colloca dove le persone abbassano la guardia: incollato sopra un QR legittimo in uno spazio pubblico, dentro un’email o un PDF dall’aspetto ufficiale, oppure stampato su una lettera che sembra arrivare da un fornitore.
La persona scansiona, arriva alla pagina falsa, digita le sue credenziali e le consegna all’attaccante senza accorgersene. Dato che il QR si apre quasi sempre sul telefono, il salto dall’ambiente aziendale al dispositivo personale è immediato.
Perché sfugge ai filtri tradizionali?
Qui c’è il punto che preoccupa di più. Un filtro email analizza link e allegati, ma un codice QR viaggia come immagine. Per il filtro è un quadrato di pixel, non un indirizzo da controllare contro le liste di reputazione.
E c’è un secondo problema. Il QR viene quasi sempre scansionato con il telefono personale, fuori dalla rete aziendale e dai suoi controlli. Il team di sicurezza perde visibilità proprio nel momento della scansione. È la stessa lacuna di cui parliamo in ciò che il tuo SIEM non vede, dove il comportamento della persona avviene in un luogo che gli strumenti tradizionali non raggiungono.
Per questo bloccare non basta. Se la difesa dipende da un sistema che intercetta l’attacco, il qrishing passa sotto.
Come si simula il qrishing?
Il modo per sapere quanto è esposta la tua organizzazione è provocare un attacco controllato prima che arrivi quello reale. Una simulazione di qrishing riproduce lo scenario in un ambiente sicuro e misura cosa succede.
In pratica, la campagna include un codice QR che porta a una tua landing page innocua, invece che a un sito fraudolento. Quando qualcuno lo scansiona non consegna nulla; viene solo registrato che ha scansionato, e quel dato alimenta l’indicatore di rischio di quella persona. Con questo, l’organizzazione sa dove rinforzare.
Ciò che distingue una buona simulazione sta in come viene progettata, qualcosa che approfondiamo in come si progetta una campagna di simulazione che cambia il comportamento. Il QR è un canale in più dentro questa logica, non un trucco isolato.
Come si forma il personale contro il qrishing?
La tecnologia aiuta, ma di fronte al qrishing la decisione finale la prende sempre una persona con il telefono in mano. Vale la pena lavorare su tre riflessi:
- Diffidare di qualsiasi QR non richiesto, soprattutto se arriva via email o appare incollato in un luogo pubblico.
- Visualizzare l’anteprima dell’URL prima di aprirlo. La maggior parte dei telefoni mostra l’indirizzo quando punti la fotocamera, ed è lì che saltano all’occhio i domini strani.
- Verificare tramite un altro canale quando un QR chiede credenziali o un pagamento. Una telefonata o l’accesso manuale al sito ufficiale toglie il dubbio.
Queste abitudini non si installano con una sola sessione. Si costruiscono con la pratica e la ripetizione, che è il senso di un programma di Cybersecurity awareness sostenuto nel tempo.
La risposta breve
Cos’è il qrishing? Phishing che nasconde la trappola dentro un codice QR per aggirare i filtri email e saltare sul telefono della persona. Come si combatte? Misurandolo con simulazioni controllate e allenando i riflessi di chi scansiona, perché il risultato si gioca lì, nella persona, più che nel filtro.
Se vuoi vedere come si impostano queste campagne dentro un programma di Cybersecurity awareness, in SMARTFENSE le gestiamo come parte dei nostri strumenti di simulazione di phishing.
Lascia un commento