NEWS

 

Cos'è il 'Quishing'?

Il Quishing, o QR phishing, è una minaccia di sicurezza informatica in cui gli aggressori utilizzano codici QR per reindirizzare le vittime a siti web dannosi o chiedere loro di scaricare contenuti dannosi. L'obiettivo di questa tipologia di attacco è quello di rubare informazioni sensibili, come password, dati finanziari o informazioni di identificazione personale (PII), e utilizzare tali informazioni per altri scopi, come il furto di identità, la frode finanziaria o il ransomware.

Questo tipo di phishing spesso bypassa le difese convenzionali come gateway di posta elettronica sicuri. In particolare, i codici QR nelle e-mail sono percepiti da molti gateway di posta elettronica sicuri come immagini prive di significato, rendendo gli utenti vulnerabili a forme specifiche di attacchi di phishing. I codici QR possono anche essere presentati alle vittime in diversi altri modi.

I codici QR, o codici di risposta rapida, sono codici a barre bidimensionali che possono essere scansionati facilmente con una fotocamera o un'applicazione di lettore di codice. Il componente principale di un codice QR è l'archiviazione dei dati. I codici QR hanno la capacità di memorizzare quantità significative di informazioni, inclusi URL, dettagli del prodotto o informazioni di contatto. La tecnologia di scansione consente alle fotocamere per smartphone o ai lettori di codice di accedere facilmente e rapidamente al sito Web a cui punta l'URL.

In un attacco di quishing, gli aggressori creano un codice QR e lo collegano a un sito web dannoso. In genere, l'attaccante incorpora il codice QR in e-mail di phishing, social media, volantini stampati o oggetti fisici e utilizzerà tecniche di ingegneria sociale per invogliare le vittime. Ad esempio, le vittime potrebbero ricevere un'e-mail che li esorta ad accedere a un messaggio vocale crittografato tramite un codice QR per la possibilità di vincere un premio in denaro.

Utilizzando i loro telefoni per scansionare il codice QR, le vittime vengono indirizzate al sito dannoso. Il sito può richiedere alle vittime di inserire informazioni private, come informazioni di accesso, dettagli finanziari o informazioni personali. Nell'esempio precedente, il sito può richiedere il nome, l'email, l'indirizzo, la data di nascita o le informazioni di accesso dell'account dell'utente.

Una volta acquisite queste informazioni sensibili, gli aggressori possono sfruttarla per vari scopi dannosi, tra cui furto di identità, frode finanziaria o ransomware.

Per evitare di cadere nelle trappole di quishing, o quantomeno ridurre il rischio di cadere vittima di tali attacchi, è necessario verificare l'URL associato al codice QR e astenersi dall'inviare informazioni personali, effettuare pagamenti o scaricare qualsiasi cosa da un sito valutato tramite un codice QR.

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Articoli correlati

Prev Di che tutele beneficia un genitore che rivela informazioni confidenziali ad un insegnante scolastico?

Galleria Video

Vademecum per prenotare online le vacanze senza brutte sorprese

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy su Linkedin

Argomenti in evidenza