Sebbene anche il QRishing sia ormai ben noto e i fornitori di sicurezza hanno sviluppato nuove protezioni, come sempre accade, gli autori delle minacce hanno ben presto risposto con una nuova evoluzione degli attacchi tramite codice QR, nascondendo in esso un routing condizionato.
“L’obiettivo finale è lo stesso: installare malware sull’endpoint dell’utente finale, rubando allo stesso tempo le credenziali. Ma adattando la destinazione in base al modo in cui l’utente finale vi accede, il tasso di successo è molto più elevato.“, spiega Jeremy Fuchs di Avanan.
Modus operandi tipico
Si tratta di un attacco di phishing tramite e-mail abbastanza standard in cui si richiede con un pretesto di scansionare il codice QR riportato.
In questo caso però il codice QR ha un punto di destinazione condizionale che, per esempio, in base al browser o al dispositivo, indirizzerà a una pagina diversa.
In pratica l’URL incorporato nel codice QR fa un primo reindirizzamento che porta a un secondo reindirizzamento verso un altro dominio deputato al routing condizionale.
“Utilizzando il reindirizzamento condizionale, gli hacker sono in grado di aumentare la propria capacità di successo. In genere, i livelli di sicurezza predefiniti esamineranno un reindirizzamento e, se il primo è pulito, lo lasceranno andare.“, continua Fuchs nel suo rapporto e conclude “Questi attacchi sono difficili da fermare perché compromettono molti livelli diversi. Se però si dispone di tutti i livelli [di protezione], la capacità di bloccare l’attacco aumenta.“.
Protezione multilivello e sensibilizzazione
Poiché tra novembre e dicembre Avanan ha registrato un aumento del 425% del QRishing tradizionale mentre nell’arco di due settimane, a gennaio, ha assistito a circa 20.000 attacchi condizionali tramite QR code, risulta quanto mai essenziale dotare le soluzioni di sicurezza della posta elettronica con più livelli di protezione per esaminare più indicatori di phishing e sensibilizzare sempre di più gli utenti finali riguardo alla minaccia del phishing tramite codice QR.