Attacchi tramite codici QR: l’allarme di Cisco Talos

Giuseppe Saieva | 2 dic 2024

Attualmente circa un messaggio di posta elettronica su 500 include un codice QR, e di questi circa il 60% è costituito da spam. Si tratta di messaggi che contengono prevalentemente collegamenti a pagine di phishing o richieste di autenticazione a più fattori (MFA), utilizzate dai criminali informatici per sottrarre le credenziali degli utenti.

Gli attacchi basati sui codici QR risultano particolarmente insidiosi – sottolinea Cisco Talos, la più grande organizzazione privata al mondo specializzata in intelligence per la cybersecurity - poiché sfruttano come vettore di attacco il dispositivo mobile della vittima, spesso caratterizzato da una protezione inferiore rispetto ad altri dispositivi e, nella maggior parte dei casi, non connesso alla rete Wi-Fi aziendale.

attacchi tramite

I codici QR sono un tipo di codice a barre bidimensionale capace di codificare fino a 7.000 caratteri numerici o 4.300 caratteri alfanumerici. Pur essendo in grado di rappresentare varie tipologie di dati, vengono utilizzati prevalentemente per codificare indirizzi web. Dalla consultazione di un menu al ristorante alla visualizzazione di una pubblicità, dalla promozione di un’offerta commerciale all’iscrizione a una newsletter: i codici QR offrono numerosi modi per accedere rapidamente alle informazioni. Tuttavia, è proprio questa ampia diffusione che ha permesso ai criminali informatici di trasformarli in uno strumento aggiuntivo, potente e potenzialmente molto pericoloso, per sferrare i loro attacchi.

Perché sono pericolosi e difficili da rilevare?

I codici QR vengono spesso incorporati in immagini, ma non tutte le soluzioni di sicurezza sono in grado di rilevare quali sono quelli dannosi. Per identificare e filtrare tali minacce, i sistemi anti-spam devono essere capaci di riconoscere la presenza di un codice QR nell'immagine, decodificarne il contenuto e analizzarlo con precisione per individuare potenziali rischi. Inoltre, i codici QR stimolano la creatività dei cybercriminali, che trovano costantemente nuovi modi per utilizzarli . Un esempio recente, riportato dalla BBC, riguarda l'uso di adesivi con codici QR fraudolenti posizionati sui parchimetri.

La nuova vena artistica dei criminali informatici

A rendere la situazione ancora più complessa è l'emergere di immagini di codici QR che si discostano dal classico formato a quadrati bianchi e neri. Questi nuovi codici integrano i punti dati all’interno di immagini, risultando visivamente molto diversi dai tradizionali codici QR e rendendoli difficili da riconoscere a colpo d'occhio. Il potenziale pericolo di questa tecnica è evidente, poiché aumentano le possibilità di ingannare le vittime e di eludere i controlli di sicurezza.

Come proteggersi dai codici QR dannosi

Esistono numerosi decodificatori di codici QR disponibili gratuitamente online. Una possibile soluzione potrebbe essere quella di fare uno screenshot del codice QR e caricare l’immagine su una di queste piattaforme per verificarne il contenuto in modo sicuro. Inoltre, è possibile accedere a un qualsiasi URL utilizzando un'applicazione come Cisco Secure Malware Analytics (Threat Grid), che permette di visualizzare il contenuto in modo sicuro, senza mettere a rischio la sicurezza di un dispositivo. Infine, soluzioni come Cisco Secure Email Threat Defense possono impedire che i messaggi di posta elettronica contenenti codici QR dannosi arrivino alla casella di posta, bloccando in modo proattivo le minacce prima che possano compromettere la sicurezza dell'utente.

Cisco Talos per evitare phishing - Ecco 8 consigli da parte di Cisco Talos per evitare phishing, truffe e furto di dati personali durante i Black Friday e il periodo natalizio Cisco Talos segnala un aumento della difficoltà nel rilevare email e messaggi fraudolenti creati tramite l'intelligenza artificiale Feste natalizie, Black Friday, regali, e-commerce.

Report Cisco Talos: aumentano i furti d’identità - Il furto di credenziali si conferma la minaccia più diffusa nel terzo trimestre del 2024. A sostenerlo è l’ultimo report stilato da Cisco Talos Incident Response (Talos IR), la più grande organizzazione privata al mondo dedicata all'intelligence sulla cybersecurity, secondo il quale i cybercriminali continuano a colpire principalmente le identità degli utenti .

Cisco Talos: scoperta nuova variante di MedusaLocker - Cisco Talos ha appena pubblicato una ricerca che evidenzia un gruppo di criminali informatici che sta distribuendo una variante del ransomware MedusaLocker, nota come “BabyLockerKZ”, un ransomware che sta compromettendo più di 100 organizzazioni al mese.