Poiché i codici QR sono diventati onnipresenti, la loro proliferazione ha dato origine a nuovi ed emergenti rischi per la sicurezza.
More than 80% of US-based QR code users said they think QR codes are safe, but only 37% of users could identify a malicious one, according to a recent report from Scantrust.
Alimentato da tale fiducia e dalla diffusa adozione dei codici QR durante la pandemia di COVID-19, il QRishing (una fusione di “QR” e “phishing”) prevede la creazione di codici QR contraffatti che portano utenti ignari a siti Web dannosi, dove vengono ricercate informazioni sensibili. e sfruttati dai criminali informatici. Questa minaccia ha prosperato grazie alle tattiche di ingegneria sociale: sfruttare la fiducia degli utenti, l’ubiquità della scansione dei codici QR e la sfida di distinguere i codici autentici da quelli fraudolenti.
Il QRishing assume varie forme, dall'apposizione di falsi adesivi QR su codici legittimi negli esercizi commerciali alla contraffazione di multe stradali con codici QR ingannevoli che raccolgono dettagli di pagamento o dati sensibili. La truffa include anche il “QR inverso”, in cui i criminali informatici inducono gli utenti a effettuare pagamenti non autorizzati o a condividere dati tramite codici QR manipolati.
Il successo di QRishing dipende dallo sfruttamento della fiducia degli utenti e dal fascino degli sconti falsi. Le vittime spesso vengono indotte con l'inganno a condividere codici QR dannosi con i propri contatti, moltiplicando il rischio.
Meanwhile, “QRLjacking” poses a rising threat, targeting services, such as WhatsApp, that rely on QR codes for logins to gain unauthorized access and access sensitive information.
Le truffe QR hanno un impatto globale
Raquel Puebla, cyber intelligence analyst at Entelgy Innotec Security, explains that QR attacks are executed all over the world. She points to a recent campaign in China in which attackers added fraudulent QR codes parking tickets left under windshield wipers.
Questi codici pretendevano di facilitare il pagamento della violazione, quando in realtà raccoglievano informazioni personali e bancarie delle vittime.
"In Germania, gli investigatori sono stati in grado di identificare una campagna in cui, attraverso e-mail fraudolente contenenti codici QR, gli aggressori contattavano i clienti dell'online banking e ottenevano informazioni sensibili", afferma.
A campaign recently affected the public transport services BiciMAD and Bicing in Madrid, Spain, in which fraudulent QR codes were attached to the bicycles of these services, she adds.
"Sembrava che costituissero un servizio di sbloccaggio della bicicletta in cambio di una certa somma di denaro", dice. "Invece di sbloccare il trasporto, il denaro è passato nelle mani dei criminali informatici."
I cellulari sono meno protetti
Patrick Harr, CEO at SlashNext, points out that QR codes are a convenient way to spread mobile-based phishing campaigns and that many mobile phones do not have phishing protection.
"Molte aziende che offrono codici QR e creazione di codici brevi dispongono di sistemi di sicurezza per impedire agli hacker di utilizzare il loro servizio per creare codici QR dannosi", afferma. "Tuttavia, ci sono ancora molti servizi che gli hacker possono utilizzare, quindi è importante disporre di una protezione mobile contro i collegamenti dannosi."
Mobile phones provide bad actors with access to corporate accounts, banking information, and other personal data, he adds.
In addition to sending users to websites that phishing le loro credenziali, attack their devices with client-side exploits, or entice them to download malicious apps, techniques such as QRLJacking allow attackers to perform account hijacking for apps that use a QR code for login, says Georgia Weidman, security architect at Zimperium.
“There are many legitimate uses for QR codes — in fact, many [multifactor authentication] apps use them for setup, and we all know the value MFA lends to keeping our accounts secure,” she says. “However, there is no message authentication code or otherwise in QR codes to verify that an attacker hasn’t replaced your organization’s QR code with a malicious one.”
Adds Harr: “It’s important for organizations to have mobile protection against malicious links because, given the proliferation of QR codes in our daily life, it’s becoming impractical to avoid them completely.”
Addestra le persone a parare gli attacchi QR
Itxaso Reboleiro, analista di cyber intelligence presso Entelgy Innotec Security, afferma che la consapevolezza è sempre il punto di partenza per respingere un attacco informatico che utilizza tattiche di ingegneria sociale.
“Companies should establish small training sessions and bulletins in which employees are kept abreast of the latest developments in cyber threats,” she says.
Nel caso di QRishing, le organizzazioni dovrebbero consigliare ai dipendenti di non eseguire la scansione Codici QR incollati nelle e-mail di dubbia provenienza o pubblicato in posti casuali, such as public roads because cybercriminals take advantage of busy places to capture a greater number of victims.
QR readers can show users the URL of a website before taking them there, Reboleiro explains.
“In this way, employees can be sure of the content hosted by the redirect before accessing the content or entering sensitive information,” she says.
Users should immediately close the website if, after scanning a QR code, they notice that the pages displayed appear to be unrelated to the expected content, Reboleiro adds. They should not enter personal data or credentials into such sites, even if requested, either.
"I dipendenti dovrebbero informare tempestivamente i propri manager o il personale di sicurezza informatica dell'azienda affinché adottino misure di sicurezza adeguate", afferma.
Dal punto di vista di Weidman, il piano migliore è formare i dipendenti sul implicazioni sulla sicurezza dei codici QR, so they are using their security awareness thinking caps while interacting with them in the wild. For example, the Open Web Application Security Project (OWASP) includes dettagli tecnici su come funziona QRLJacking e come mitigare i rischi di attacchi tramite codice QRL nelle app.
"Se la tua organizzazione utilizza i codici QR per l'autenticazione, è importante essere consapevoli dei tipi di attacchi utilizzati dagli aggressori e implementare strategie di mitigazione per loro", afferma Weidman.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/edge/qr-code-101-what-threats
- :ha
- :È
- :non
- :Dove
- 7
- a
- capace
- accesso
- Accedendo
- Secondo
- Il mio account
- conti
- attori
- aggiunto
- aggiunta
- Aggiunge
- Adozione
- Vantaggio
- aiutarti
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- Tutti
- consentire
- allettare
- anche
- sempre
- quantità
- an
- analista
- ed
- apparire
- apparso
- Applicazioni
- sicurezza delle applicazioni
- opportuno
- applicazioni
- SONO
- AS
- At
- attacco
- attacchi
- Autenticazione
- evitare
- consapevole
- consapevolezza
- Vasca
- Settore bancario
- BE
- perché
- diventare
- diventando
- prima
- MIGLIORE
- occupato
- ma
- by
- Campagna
- Responsabile Campagne
- Materiale
- caps
- catturare
- Custodie
- ceo
- certo
- Challenge
- Cina
- rivendicato
- Chiudi
- codice
- codici
- Raccolta
- Aziende
- azienda
- completamente
- costituire
- contatti
- contenuto
- Comodo
- Aziende
- potuto
- Contraffazione
- contraffazione
- COVID-19
- Pandemia di COVID-19
- creare
- creazione
- Credenziali
- Clienti
- Cyber
- Attacco informatico
- i criminali informatici
- Cybersecurity
- alle lezioni
- dati
- dettagli
- sviluppi
- dispositivi
- sconti
- visualizzati
- do
- scaricare
- dovuto
- durante
- o
- emergenti del mondo
- dipendenti
- Ingegneria
- entrare
- entrare
- stabilire
- Anche
- esempio
- exchange
- eseguito
- previsto
- Spiega
- Exploited
- sfruttando
- gesta
- facilitare
- fatto
- falso
- fine
- Nel
- forme
- fraudolenti
- da
- fusione
- Guadagno
- genuino
- Germania
- ottenere
- dato
- globali
- maggiore
- hacker
- Mani
- raccolto
- Avere
- he
- cerniere
- ospitato
- Come
- Tuttavia
- HTTPS
- identificare
- if
- subito
- realizzare
- implicazioni
- importante
- in
- inclusi
- informazioni
- invece
- Intelligence
- si interagisce
- ai miglioramenti
- Investigatori
- IT
- jpg
- conservazione
- tenere
- Sapere
- con i più recenti
- ultimi sviluppi
- portare
- a sinistra
- legittimo
- meno
- leveraging
- Vita
- piace
- Collegamento
- accesso
- Guarda
- una
- Fare
- I gestori
- manipolata
- molti
- analisi
- messaggio
- AMF
- Ridurre la perdita dienergia con una
- attenuazione
- Mobile
- cellulari
- Monetario
- soldi
- autenticazione a più fattori
- moltiplicando
- New
- no
- Avviso..
- numero
- ottenuto
- of
- MENO
- offrire
- di frequente
- on
- ONE
- quelli
- online
- online banking
- esclusivamente
- aprire
- or
- organizzazione
- organizzazioni
- origine
- Altro
- altrimenti
- nostro
- su
- ancora
- pagine
- pandemia
- parcheggio
- Passato
- Pagamento
- pagamenti
- Persone
- Eseguire
- cronologia
- dati personali
- prospettiva
- phishing
- telefoni
- Partner
- piano
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- punti
- pone
- prevenire
- progetto
- protezione
- fornire
- la percezione
- QR code
- qr-code
- casuale
- lettori
- recente
- recentemente
- reindirizzare
- fare affidamento
- sostituito
- rapporto
- invertire
- Aumento
- crescita
- Rischio
- rischi
- s
- sicura
- Suddetto
- dice
- Truffa
- truffe
- scansione
- scansione
- sicuro
- problemi di
- Consapevolezza della sicurezza
- Misure di sicurezza
- rischi per la sicurezza
- invio
- delicata
- servizio
- Servizi
- sessioni
- flessibile.
- compartecipazione
- lei
- Corti
- dovrebbero
- mostrare attraverso le sue creazioni
- Siti
- piccole
- So
- Social
- Ingegneria sociale
- ricercato
- Spagna
- diffondere
- STAFF
- Di partenza
- adesivi
- Ancora
- strategie
- il successo
- tale
- sicuro
- tattica
- Fai
- prende
- presa
- mira
- tecniche
- di
- che
- I
- il mondo
- loro
- Li
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- think
- Pensiero
- questo
- minaccia
- minacce
- Attraverso
- biglietti
- a
- traffico
- Treni
- Training
- trasporto
- Affidati ad
- onnipresente
- non autorizzato
- per
- sblocco
- URL
- uso
- Utente
- utenti
- usa
- utilizzando
- APPREZZIAMO
- vario
- verificare
- via
- vittime
- VIOLAZIONE
- Modo..
- modi
- we
- sito web
- applicazione web
- Sito web
- siti web
- sono stati
- Che
- quando
- quale
- while
- molto diffuso
- Selvaggio
- con
- lavori
- mondo
- Trasferimento da aeroporto a Sharm
- zefiro