Barracuda ha segnalato una nuova ondata di attacchi di quishing realizzati tramite due tattiche innovative. Il quishing, o Qrishing, è una strategia basata sull’utilizzo di codici QR contenenti link malevoli che, una volta scansionati, reindirizzano le vittime su siti web creati appositamente per rubare credenziali e informazioni sensibili.
Le nuove tattiche sono descritte in dettaglio in un report e prevedono la suddivisione in due parti di un codice QR per confondere i sistemi di scansione tradizionali, oppure l’inserimento di un codice QR dannoso all’interno o accanto a un secondo codice QR legittimo.
Gli analisti di Barracuda hanno riscontrato l’impiego di queste tecniche di suddivisione e accorpamento (“annidamento”) in attacchi condotti tramite alcuni dei principali kit di Phishing-as-a-Service (PhaaS), come Tycoon e Gabagool.
La strategia consiste nel dividere un codice QR in due immagini separate e inserirle molto vicine tra loro in un’e-mail di phishing. In questo modo, all’occhio umano l’immagine appare come un unico codice. Tuttavia, quando i sistemi di sicurezza tradizionali analizzano il messaggio, rilevano due immagini distinte dall’aspetto innocuo, anziché un QR code completo. Ma se il destinatario scansiona l’immagine, viene reindirizzato su un sito di phishing creato appositamente per rubare le credenziali.
Il kit PhaaS Tycoon, invece, utilizza la tecnica dell’annidamento per circondare un codice QR legittimo con uno dannoso: il codice QR esterno reindirizza a un URL doloso, mentre il codice QR interno rimanda a Google.
“I codici QR malevoli sono molto usati dai criminali informatici perché hanno un aspetto legittimo e possono aggirare le misure di sicurezza tradizionali, come i filtri e-mail e gli scanner URL”, ha dichiarato Saravanan Mohankumar, manager, threat analysis team di Barracuda. “Poiché per scansionare il codice i destinatari devono spesso utilizzare un dispositivo mobile, si finisce per operare al di fuori del perimetro di sicurezza dei computer e, di conseguenza, dalle relative protezioni. I cybercriminali continuano a sperimentare nuove tecniche per restare sempre un passo avanti rispetto alle misure di difesa. Per questo, una protezione integrata e potenziata dall’intelligenza artificiale può davvero fare la differenza”.