Phishing tramite codice QR (Quishing)

Cos’è Phishing tramite codice QR (Quishing)?

Un'email con il brand aziendale arriva nella tua casella di posta. Oggetto: Aggiornamento di Sicurezza Obbligatorio. Il messaggio spiega un nuovo rollout dell'autenticazione multi-fattore e include un codice QR per la configurazione rapida da mobile. L'indirizzo del mittente corrisponde al tuo dipartimento IT. Il branding e perfetto al pixel. Scansioni il codice con il tuo telefono. Questo e esattamente cio su cui contano gli attaccanti. I codici QR convertono gli URL in immagini, il che significa che i filtri di sicurezza email che analizzano i link testuali non vedono mai la destinazione malevola. Il tuo telefono apre una pagina di login identica al portale SSO della tua azienda. Digiti le tue credenziali su uno schermo piu piccolo dove l'ispezione dell'URL e piu difficile. L'attaccante ora ha il tuo nome utente e la tua password. Hoxhunt ha riportato un aumento del 587% degli attacchi di phishing con codice QR nel 2023. La tecnica e efficace perche sfrutta un divario tra dispositivi. Il tuo laptop ha protezione endpoint, filtraggio email ed estensioni di sicurezza del browser. Il tuo telefono personale probabilmente non ha nulla di tutto cio. Spostando l'attacco dal tuo computer di lavoro al tuo dispositivo mobile, gli attaccanti aggirano l'intero stack di sicurezza aziendale. In questo esercizio, riceverai un'email di quishing realistica e percorrerai l'intera catena di attacco. Imparerai a visualizzare in anteprima le destinazioni dei codici QR prima di scansionarli, a verificare le comunicazioni IT attraverso i canali ufficiali e a riconoscere i segni rivelatori che distinguono un flusso di lavoro legittimo basato su QR da un'operazione di raccolta credenziali.

Cosa imparerai in Phishing tramite codice QR (Quishing)

• Spiegare come i codici QR aggirano i tradizionali filtri di sicurezza email e la scansione degli URL
• Identificare i segnali d'allarme di un'email di phishing che utilizza codici QR invece di link cliccabili
• Applicare tecniche di ispezione degli URL su mobile prima di inserire credenziali su un telefono
• Riconoscere le strategie di attacco cross-device che sfruttano le lacune tra sicurezza aziendale e personale
• Dimostrare le corrette procedure di verifica per comunicazioni IT inaspettate

Phishing tramite codice QR (Quishing) — Fasi della formazione

1. Un mercoledì di routine

   È mercoledì mattina. Ti sei appena sistemato nel tuo ufficio a casa con un caffè e hai aperto il tuo laptop per controllare i messaggi notturni.

2. Un'e-mail di sicurezza urgente

   Arriva una nuova email da quello che sembra essere il team di sicurezza IT. La riga dell'oggetto recita 'Obbligatorio: migrazione dell'autenticazione a più fattori - Azione richiesta entro venerdì'.

3. Scansione del codice QR

   L'e-mail sembra ufficiale e la scadenza è a soli due giorni. Alice prende il telefono per scansionare il codice QR, pensando che sarà più veloce che navigare nei portali informatici.

4. Apertura del collegamento

   Lo scanner QR del telefono rileva un URL: http://veranthos-security.net/verify. Alice tocca 'Apri nel browser' senza esaminare l'URL: dopo tutto, proviene da un'e-mail di sicurezza IT.

5. Il portale del Fake MAE

   Il browser mobile si apre su quello che sembra essere un portale di migrazione MFA di Veranthos Solutions. La pagina utilizza il marchio verde dell'azienda, presenta un'icona a forma di scudo e chiede ad Alice di 'verificare la propria identità' inserendo le proprie credenziali di lavoro prima di procedere con la configurazione dell'AMF. L'aspetto professionale lo fa sembrare legittimo, ma l'URL nella barra degli indirizzi racconta una storia diversa.

6. Qualcosa è andato storto

   Dopo aver inviato le credenziali, la pagina visualizza un errore: 'Servizio di migrazione MFA temporaneamente non disponibile. Riprova più tardi.' Alice è frustrata ma presume che si tratti di un problema temporaneo del server. Prende nota mentalmente di riprovare domani e torna al suo lavoro.

7. Avviso di sicurezza

   Due giorni dopo, Alice riceve un'e-mail urgente dal Veranthos Solutions Security Operations Center.

8. Collegare i punti

   Alice sente un brivido mentre collega i punti: l'e-mail di migrazione dell'MFA, il codice QR, le credenziali che ha inserito nel 'portale di verifica'. Non è stato un errore del server. Era una trappola. Il codice QR nell'e-mail portava il browser del suo telefono a una falsa pagina di accesso di Veranthos che raccoglieva le sue credenziali. L'aggressore ora aveva pieno accesso al suo account.

9. Bandiere rosse: l'e-mail

   Torniamo indietro ed esaminiamo l'e-mail di phishing originale con occhi nuovi. Diverse bandiere rosse erano nascoste in bella vista.

10. Bandiere rosse: il telefono

    Ora diamo un'occhiata alla pagina di phishing visitata da Alice sul suo telefono. L'URL e il protocollo rivelano chiari segni di un sito fraudolento.