Rimani informato con aggiornamenti gratuiti
Le banche e le autorità di regolamentazione avvertono che le truffe di phishing dei codici QR, note anche come “quishing”, stanno scivolando attraverso le difese informatiche aziendali e inducendo sempre più i clienti a fornire i propri dettagli finanziari.
Istituti di credito tra cui Santander, HSBC e TSB si sono uniti al National Cyber Security Centre del Regno Unito e alla Federal Trade Commission degli Stati Uniti, tra gli altri, per sollevare preoccupazioni sull'aumento dei codici QR fraudolenti utilizzati per sofisticate campagne di frode.
Il nuovo tipo di truffa via email coinvolge spesso i criminali che inviano codici QR nei PDF allegati. Gli esperti affermano che la strategia è efficace perché i messaggi spesso passano attraverso i filtri di sicurezza informatica aziendali, software che in genere segnalano collegamenti a siti Web dannosi, ma spesso non scansionano le immagini all’interno degli allegati.
“L'attrattiva per i criminali è che si stanno aggirando tutti i problemi [cyber security] formazione e sta anche aggirando i nostri prodotti”, ha affermato Chester Wisniewski, consulente senior presso la società di software di sicurezza Sophos.
Ricercatori e gestori delle frodi hanno affermato che è difficile stimare i costi del “quishing” poiché le società di sicurezza informatica e le banche in genere non registrano il formato dei collegamenti dannosi e perché tali e-mail potrebbero essere solo un elemento di un attacco informatico più ampio.
Ma una ricerca di IBM ha scoperto che gli attacchi di “phishing” – che coinvolgono i truffatori inviano e-mail mirate con collegamenti dannosi – sono sempre più costosi per le aziende, con il costo medio globale di una violazione dei dati che aumenterà di quasi il 10% fino a raggiungere i 4,9 milioni di dollari nel 2024.
I codici QR contengono dati, come URL o informazioni di pagamento, in codice binario. Inventati dalla società giapponese Denso Wave nel 1994 come strumento per tracciare i ricambi auto, questi codici sono progettati per essere rapidamente leggibili dalle macchine, in particolare dagli smartphone, ma sono generalmente illeggibili per gli esseri umani.
Sebbene la maggior parte degli smartphone visualizzi una breve anteprima dell'URL contenuto in un codice QR scansionato, i ricercatori hanno affermato che questo pop-up generalmente non è sufficiente affinché gli utenti possano rilevare che un collegamento potrebbe essere fraudolento.
“Questi attacchi sfruttano il fatto che i codici QR, per loro natura, sono difficili da interpretare visivamente, quindi le vittime spesso non sanno dove vengono indirizzate finché non è troppo tardi”, ha affermato Amir Sadon, direttore della ricerca presso la sicurezza informatica. consulenza Sygnia.
Banks ha affermato che la prevalenza di questo tipo di truffa è accelerata da quando i codici QR sono diventati popolari durante la pandemia di Covid-19, quando venivano utilizzati per visualizzare di tutto, dai passaporti dei vaccini ai menu dei ristoranti. “Si tratta sicuramente di una tendenza in crescita in termini di numero di segnalazioni che riceviamo”, ha affermato Steph Harrison, responsabile senior delle operazioni antifrode presso TSB.
Da un sondaggio condotto a maggio dalla società di software di sicurezza McAfee è emerso che più di un quinto di tutte le truffe online nel Regno Unito probabilmente hanno avuto origine da codici QR. Secondo Action Fraud, le segnalazioni di truffe relative ai codici QR nel Regno Unito sono più che raddoppiate nell’anno fino ad agosto 2024.
Anche la Federal Trade Commission degli Stati Uniti, così come diverse autorità locali in tutto il Regno Unito, hanno messo in guardia quest'anno da un tipo specifico di truffa “quishing” contro gli automobilisti, compresi i casi in cui adesivi che indirizzano gli utenti a siti fraudolenti sono stati posizionati sopra codici QR legittimi. utilizzato per pagare il parcheggio.
Questi collegamenti potrebbero indirizzare gli utenti a un sito Web errato e chiedere loro di inserire i propri dati o indurli a scaricare malware. Peggio ancora, ha detto Harrison, “potresti anche essere multato per non avere effettivamente una multa per parcheggio”.
Le vittime hanno anche segnalato che codici QR fraudolenti sono stati posizionati su quelli legittimi nei punti di ricarica per veicoli elettrici, nelle stazioni ferroviarie e ai tavoli dei ristoranti.
Ma i ricercatori hanno affermato che le truffe “quishing” sono più comunemente diffuse tramite e-mail, una minaccia che ha messo sotto pressione i fornitori di sicurezza aziendale affinché adattassero le loro difese online.
“Oggi quasi no [cyber security] i prodotti guardano attraverso gli allegati”, ha affermato Wisniewski. “Se questo continua a essere un problema, suppongo che l’industria dovrà trasferirsi lì, ma ciò rallenterà la consegna delle e-mail e renderà anche le cose più costose”.