Bastano pochi secondi per innescare l’inganno: un codice QR captato dalla fotocamera dello smartphone e la vittima è già altrove, su un sito costruito per rubarle identità e dati. Gli esperti di Barracuda Networks spiegano come il quishing stia evolvendo, adottando due sorprendenti stratagemmi elusivi.
Dall’utilizzo quotidiano alla minaccia invisibile
La diffusione dei codici QR ha accompagnato ogni gesto della vita moderna: pagamenti al ristorante, biglietti di viaggio, accessi a menu e check-in rapidi. La semplicità con cui l’occhio umano affida fiducia a quel mosaico di pixel ha spalancato la porta a una nuova ondata di truffe digitali. Chi orchestra un attacco di quishing approfitta di questa familiarità per celare collegamenti pericolosi all’interno di ciò che, a prima vista, appare legittimo. Il risultato? L’utente, convinto di compiere un’operazione abituale, finisce su pagine false create per sottrargli credenziali e informazioni sensibili.
Quasi sempre la scansione avviene da un dispositivo mobile, lontano dai controlli di sicurezza che proteggono i computer aziendali. Saravanan Mohankumar, responsabile del threat analysis team di Barracuda, avverte che proprio questa distanza dai perimetri tradizionali rende l’inganno ancor più efficace. Quando lo smartphone diventa il punto d’ingresso, filtri e motori di analisi di posta elettronica restano ignari del pericolo. I criminali, consapevoli di tale varco, perfezionano di continuo tecniche pensate per eludere scanner automatici e intercettazioni preventive, restando di fatto un passo avanti agli strumenti difensivi più diffusi.
Strategie di elusione sempre più raffinate
La creatività dei truffatori digitali sfrutta ora veri e propri «kit» di Phishing-as-a-Service, pacchetti preconfezionati reperibili sul mercato nero che permettono a chiunque di allestire un attacco con pochi clic. Tycoon e Gabagool sono i due kit che gli analisti hanno osservato con maggiore attenzione nell’ultimo report. Entrambi includono funzioni dedicate ai codici QR e, soprattutto, integrano algoritmi per aggirare i controlli messi in campo dai gateway di posta elettronica. In questo modo gli aggressori possono colpire a larga scala, senza possedere competenze avanzate di programmazione o di social engineering.
Conscio dell’attenzione che i filtri antiphishing dedicano ai codici QR completi, il cyber-crimine ha iniziato a manipolare l’immagine stessa, spezzandola o sovrapponendola ad altri simboli. Il principio è semplice ma potente: gli scanner automatici analizzano ciascun frammento o ciascun livello come se fosse un elemento autonomo, ignorando il significato complessivo che emergerà soltanto quando l’utente avvicinerà la fotocamera. È un esempio lampante di come l’arte dell’offuscamento possa trasformare un rettangolo di pixel in un passaporto verso la sottrazione di credenziali sensibili.
Il trucco della divisione: Gabagool in azione
Fra le tecniche più ingegnose individuate figura la suddivisione del codice QR in due segmenti distinti, strategia perfezionata attraverso il kit Gabagool. Gli aggressori confezionano un’e-mail che simula in modo convincente una richiesta di reimpostazione password proveniente da Microsoft. All’interno del messaggio collocano le due metà dell’immagine fianco a fianco, calibrando con attenzione lo spazio così da farle apparire, all’occhio umano, come un singolo codice perfetto. I filtri di sicurezza, invece, registrano la presenza di due figure innocue, prive di collegamenti attivi, e lasciano passare la comunicazione.
Quando il dipendente, persuaso dall’urgenza presentata nell’e-mail, decide di inquadrare l’immagine con lo smartphone, le due sezioni si ricompongono digitalmente, rivelando l’URL che conduce a una pagina di phishing. È in quell’istante che il gioco si compie: la vittima immette le proprie credenziali convinta di farlo nell’ambiente di autenticazione ufficiale, offrendo invece le chiavi del proprio account ai criminali. La stessa operazione risulta impercettibile per gli apparati di sicurezza aziendali, perché lo spostamento avviene fuori rete e senza nessun alert rilevante per i sistemi di log.
L’annidamento che confonde gli scanner: il caso Tycoon
Se la divisione inganna i filtri con la frammentazione, l’«annidamento» punta invece a generare risultati ambigui durante l’analisi. Il kit Tycoon avvolge un codice QR del tutto lecito con un secondo codice che reindirizza verso un dominio malevolo. Il risultato è un’immagine a doppio strato: lo scanner automatico può individuare il collegamento a Google contenuto nel cuore del mosaico e catalogarla come sicura, mentre non sempre riesce a interpretare l’URL nascosto nel contorno esterno, quello che porterà realmente la vittima sul sito trappola.
Per l’utente finale, il processo resta semplice: puntare la camera, attendere la notifica e toccare il link. Tuttavia, dietro la schermata di conferma si nasconde un percorso biforcuto. In alcuni casi l’azione si biforca in millisecondi: prima la pagina legittima si apre in background per rafforzare la percezione di autenticità, poi si attiva il reindirizzamento nascosto che conduce al sito malevolo. La rapidità con cui tutto accade rende quasi impossibile notare la transizione, mentre per i sistemi di analisi rimane visibile soltanto il passaggio verso l’URL sicuro, depistando eventuali alert.
Contromisure: multilivello e intelligenza artificiale
La difesa non può più limitarsi al semplice riconoscimento di pattern noti. Gli esperti di Barracuda suggeriscono un approccio multilivello che unisca formazione costante degli utenti, autenticazione a più fattori e filtri e-mail avanzati. L’addestramento, in particolare, deve insegnare a diffidare dei codici QR ricevuti via posta elettronica, specialmente quando invitano ad azioni urgenti. A ciò va affiancata una protezione e-mail capace di analizzare in profondità gli allegati e di ispezionare i codici QR anche senza decodificarne manualmente il contenuto, così da intercettare tentativi di offuscamento come quelli descritti.
In questo contesto si inserisce la piattaforma BarracudaONE, potenziata da capacità di intelligenza artificiale multimodale. Il sistema esamina testo, immagini e metadati in sinergia, individuando correlazioni che sfuggono agli algoritmi tradizionali e ai controlli basati su firme. L’obiettivo è restituire alle aziende visibilità in tempo reale su e-mail, dati, applicazioni e reti, rilevando minacce in evoluzione prima che possano provocare danni. Secondo il nuovo report, un’architettura di sicurezza unificata e fruibile da un’unica dashboard offre inoltre il vantaggio di semplificare le operazioni, rafforzando la resilienza anche delle realtà con risorse IT limitate.