Il 94% degli italiani adulti possiede uno smartphone: lo dice lo studio Digital Consumer Trends Survey 2022 di Deloitte e questo spiega perché il telefono sia ormai diventato uno dei principali vettori di truffe online: non a caso, i criminali informatici hanno “rispolverato” vecchie tecniche di attacco come il vishing e lo smishing, cioè il phishing vocale o tramite SMS, aggiornandole e affiancandole al sempre più diffuso QRishing, il phishing via QR Code.
Questo è quanto emerge nel rapporto del secondo trimestre del 2022 di APWG che ha osservato, infatti, il nuovo record del peggior trimestre, specie per il settore finanziario, ed un aumento delle frodi basate sui dispositivi mobili. Complessivamente le frodi basate su tali dispositivi segnano una crescita del 70% rispetto al primo trimestre dell’anno[1].
QR code malevoli: cosa sono, quali pericoli nascondono, come difendersi
Indice degli argomenti
Truffe bancarie via QRishing, vishing e smishing
Le truffe bancarie on-line sono, dunque, in continua evoluzione e nel quadro delle ormai note tecniche di “phishing” (e-mail fraudolente inviate spacciandosi per noti Istituti di credito), “smishing” (SMS ingannevoli inviati nella chat autentica della banca) e “vishing” (telefonata di un falso operatore bancario) si aggiunge un nuovo sistema per carpire i dati sensibili delle malcapitate vittime: il cosiddetto QRishing.
Da una parte, aumenta progressivamente il numero delle organizzazioni maggiormente consapevoli dei rischi che irrobustiscono la propria postura di sicurezza, anche utilizzando misure e sistemi di prevenzione per difendersi dagli attacchi di phishing; dall’altra, tuttavia, l’agire dei criminali – come vedremo – sembrerebbe prendere sempre più di mira gli individui, considerati il vero anello debole della catena di sicurezza.
Inoltre, sempre nel corso dell’anno, il tema della penetrazione delle infezioni è stato un tema associato ai dispositivi smartphone, si pensi alla diffusione di FluBot, un malware per dispositivi Android che si propaga attraverso link di phishing condivisi grazie a SMS o tramite note App di messaggistica istantanea (fonte: Rapporto Clusit 2022).
Per la loro vasta diffusione, la semplicità e la loro frequenza d’uso, tali dispositivi ampliano la superficie d’attacco sfruttata dai cyber criminali per intraprendere insidiosi e fruttosi attacchi informatici.
Prendiamo in considerazione le truffe telefoniche poiché, purtroppo, ad oggi, troppe persone non riescono ancora a riconoscere quando una telefonata o un messaggio di testo proviene da un truffatore piuttosto che da una fonte legittima.
Mentre, d’altro canto, i criminali sanno esattamente come agire (tecniche di ingegneria sociale) per convincere le vittime ad agire, muovendosi agilmente secondo uno schema di frode. Inoltre, nella trappola, lo testimoniano gli eventi recenti, cadono anche gli addetti ai lavori, come testimonia il caso di un recente SMS fraudolento inviato ad un dipendente di Banca Intesa, a cui hanno sottratto 60 mila euro:
“La beffa: l’uomo che lavora nell’istituto di credito veneziano è stato truffato da un sedicente operatore bancario. Il solito sms con il messaggio esca: «Abbiamo rilevato un accesso anomalo sul tuo conto». Poi, la telefonata del sedicente operatore della banca e i suggerimenti per risolvere l’inghippo all’interno di una pagina internet in tutto e per tutto riconducibile a quella dello stesso istituto di credito. È così che i pirati informatici sono riusciti a svuotare ancora una volta un conto corrente, sottraendo, in questo caso, circa 60 mila euro tramite numerose e ignote transazioni”.
Analizziamo perciò tali tecniche e come vengono attuate, oltre che nel QRishing anche nello smishing e nel vishing, in modo da poter individuare i segnali/comportamenti che indicano un possibile attacco.
Phishing: la minaccia più insidiosa secondo Enisa
Il phishing declinato nelle sue varie forme rimane ancora l’arma preferita dai malfattori per truffare le ignare vittime.
In particolare, il Threat Landscape 2022, il Report dell’Agenzia dell’Unione europea per la cybersicurezza (Enisa) giunto alla sua decima edizione e pubblicato lo scorso 3 novembre, nel riepilogare il quadro generale della sicurezza informatica e le principali tendenze osservate nell’arco di un anno, ha confermato che il phishing propagato via e-mail rimane uno tra i vettori più insidiosi degli attacchi cyber.
Anche nel quadro descritto dall’Internet Organised Crime Threat Assessment 2021 (IOCTA) pubblicato dall’Ufficio europeo di polizia (EUROPOL) si conferma che phishing e social engineering sono i maggiori vettori di attacco nelle frodi riguardanti i pagamenti elettronici e il comparto bancario e finanziario, con un incremento sia dei volumi delle truffe sia della sofisticazione delle tecniche di frode.
Se dunque da un lato l’attacco phishing messo in atto tramite l’adescamento della vittima tramite i canali digitale da parte di un soggetto che fingendosi di essere degno di fiducia sottrae informazioni personali, dati finanziari o codici di accesso, resta la minaccia più diffusa, il Vishing (phishing vocale – Voice over IP phishing), lo Smishing (attacchi tramite messaggi di testo con link a contenuto malevolo) e il QRishing come ulteriori vettori d’attacco sono significativamente in crescita.
Cos’è e come funziona il QRishing
Questa tipologia d’attacco consente di indirizzare le vittime verso siti malevoli per sottrarre alle vittime le informazioni di accesso e finanziarie. Il QRishing si traduce in attacchi di phishing attuati per il tramite di codici QR e, proprio come nel caso degli attacchi via e-mail, fanno leva sulla curiosità del malcapitato inducendolo a scansionare inconsapevolmente i codici dannosi. Si tratta di una modalità malevola che fa presa sia sul fatto che la tale tecnologia è ampiamente diffusa ed usata nelle pratiche della vita quotidiana, che, inoltre, può essere intrapresa sia nello spazio digitale, sia fisico.
Si consideri con quale facilità comunemente scansioniamo QR code in ambienti quali, ad esempio, palestre, ristoranti o bacheche pubbliche o universitarie dove i tuffatori potrebbero aver sostituito, tramite uno sticker adesivo il QR Code genuino, con uno appositamente creato per la truffa di QRishing.
Nel dicembre del 2021 è stata segnalata una campagna di phishing che utilizzava codici QR rivolti agli utenti di e-banking tedeschi per ingannare gli utenti di due delle maggiori istituzioni finanziarie tedesche, Sparkasse e Volksbanken Raiffeisenbanken.
I messaggi di phishing erano realizzati con cura, il contenuto era ben strutturato e presentava i loghi delle banche.
Gli attori delle minacce hanno utilizzato l’ingegneria sociale per ingannare i destinatari, chiedendo loro di acconsentire alle modifiche alle politiche dei dati implementate dalla banca o richiedendo loro di rivedere nuove procedure di sicurezza.
Dopo aver fatto clic sul pulsante incluso nel messaggio, il destinatario veniva reindirizzato alla pagina di destinazione compromessa. Gli attori delle minacce dietro questa campagna hanno registrato i propri domini personalizzati sia per il reindirizzamento che come siti di phishing finali.
Negli attacchi recenti di QRishing i criminali hanno continuato ad utilizzare codici QR chiedendo ai destinatari di scansionarli, sfruttando il fatto che tale l’uso del codice rende più difficile il riconoscimento del link ai siti malevoli.
Non a caso, per l’ampia e repentina diffusione di questo genere di frodi, l’FBI ha incluso l’attacco QRishing sull’Internet Crime Complaint Center (IC3) di febbraio. I criminali informatici – segnala l’FBI – utilizzano la manomissione dei codici QR per reindirizzare le vittime a siti dannosi allo scopo di rubare informazioni di accesso e finanziari.
I codici QR legittimi utilizzati dalle aziende a scopo di pagamento sono utilizzati per reindirizzare potenziali vittime a siti Web dannosi progettati per rubare le loro informazioni personali e finanziarie, installare malware sui loro dispositivi o deviare i loro pagamenti verso account sotto il loro controllo.
Dopo che le vittime hanno scansionato quelli che sembrano codici legittimi, vengono inviate ai siti di phishing degli aggressori, dove viene loro chiesto di inserire i loro dati di accesso e finanziari. Una volta inseriti, tali dati sono inviati ai criminali informatici che possono usarlo per rubare denaro utilizzando conti bancari dirottati[2].
Cos’è e come funziona il vishing (voice phishing)
Si tratta di un metodo per rubare informazioni personali, confidenziali e riservate sfruttando un disegno criminoso da portare a compimento. Ad esempio, un truffatore potrebbe entrare in contatto con la vittima fingendosi un agente di banca oppure un impiegato di un dipartimento governativo oppure un rappresentante di un’azienda sanitaria o un agente di supporto tecnico di una compagnia telefonica.
Pertanto, gli attacchi vishing iniziano solitamente con un messaggio che contiene un numero di telefono da contattare. Nella fase successiva l’obiettivo dell’attacco rimane sempre il medesimo: convincere la vittima a tenere un determinato comportamento o compiere un’azione: fornire informazioni per l’accesso ad un conto bancario o al proprio fascicolo sanitario o a scaricare un file malevolo (malware) mascherato da aggiornamento di sistema o servizio su un computer o dispositivo elettronico.
Si tratta di un crimine informatico particolarmente insidioso, perché i truffatori che lo mettono in atto agiscono sulla sfera emotiva della vittima, richiamando l’esigenza e l’urgenza di un determinato comportamento resosi necessario per evitare conseguenze gravi ed imminenti per la vittima stessa.
In tal modo, nello schema di frode messo in atto, la vittima è convinta di dover fornire le informazioni richieste nella fase concitata che viene a determinarsi. Il pretesto della comunicazione può essere anche più semplice, per esempio il ripristino di un account di posta elettronica, l’accesso ad un servizio online, la partecipazione ad una determinata campagna promozionale o l’adesione ad una iniziativa di solidarietà.
Nelle organizzazioni più grandi, con più sedi e dipartimenti, tali tecniche fraudolenti sono particolarmente insidiose, in quanto le vittime potrebbero non rendersi conto di essere sotto attacco e di conseguenza fornire credenziali di accesso ai servizi aziendali, aprendo di fatto le porte ai criminali all’intero patrimonio informativo societario, eludendo pertanto i sistemi di sicurezza implementati per la protezione delle infrastrutture.
Vi rimandiamo alla lettura più approfondita di un caso di seguito, brevemente descritto riguardante una truffa ai danni di un dirigente di banca, il quale credendo di parlare con un amministratore di un’altra società, ha autorizzato un trasferimento di 35 milioni di dollari.
Per la procedura di acquisizione era stato anche assunto un avvocato, tale Martin Zelner e la persona che lo impersonava era stata in contatto regolare con la vittima, la quale aveva ritenuto che fosse legittimo. L’Ufficio del Pubblico Ministero di Dubai sta indagando sul caso perché altre aziende sono state colpite con le medesime modalità[3].
Va poi considerato che la tecnologia VoIP (Voice Over IP) consente agli attori malevoli di creare numeri telefonici virtuali con prefissi geografici (a cui è molto più probabile che le persone rispondano) o che sembrano quasi identici a quelli di aziende o organizzazioni reali.
Rintracciare il truffatore che si cela dietro alcune telefonate è sempre più complicato dalla tecnica dello spoofing, usata per nascondere ID del chiamante. Il criminale che intende rubare i dati di accesso ad un conto bancario o i dettagli di accesso può utilizzare il c.d. “call spoofing” – attraverso piattaforme online che permettono l’invio del messaggio attraverso un determinato numero telefonico impostato come “mittente” – per fingere che la telefonata sia generata da una banca locale o da una nota società di carte di credito o da un qualsiasi servizio lecito.
La probabilità che la vittima risponda è alta dal momento che la chiamata apparentemente risulta essere legittima, poiché identificata dall’ID, impostato tramite il servizio online utilizzato dallo scammer, apparentemente appartenente alla propria banca invece e che provenire da un “chiamante sconosciuto”.
Cos’è e come funziona lo smishing
È un tipo di attacco di phishing che utilizza i messaggi di testo anziché le e-mail. Il truffatore, infatti, invia un messaggio SMS, che sembra provenire da un’azienda affidabile. Il contenuto del messaggio può riguardare un disservizio sul conto di home banking (accesso abusivo, imminente rischio del blocco della carta per uso indebito ecc.), oppure può riguardare una possibile vincita ad una fantomatica lotteria o ancora l’assegnazione di un “buono regalo” da riscattare, quale cliente fidelizzato di una determinata campagna promozionale.
Ciascuno di questi messaggi avrà anche un collegamento incluso, cliccando sul quale è possibile “verificare il paventato addebito sospetto” oppure ottenere le istruzioni per ricevere il famigerato bonus/regalo. Facendo click sul collegamento, la vittima viene reindirizzata ad un sito Web in cui viene mostrato un modulo di “verifica” che solitamente richiede di compilare dei campi per fornire i dati personali o gli estremi dei propri strumenti elettronici di pagamento, per le verifiche di sicurezza.
Al momento dell’invio, tutte queste informazioni verranno trasmesse immediatamente ai criminali, pronti a trasmetterle agli altri appartenenti al sodalizio criminoso per un successivo utilizzo fraudolento.
Un caso passato alla cronaca giudiziaria è quello del ventunenne Teige Gallagher, condannato a quattro anni di carcere per aver sfruttare questa incredibile opportunità per arricchirsi velocemente. Fingendosi dipendente del Servizio Sanitario Nazionale, ha costretto i malcapitati ad iscriversi a un programma di vaccinazione falso e poi ripulire i conti bancari delle vittime. Impersonava le organizzazioni sanitarie inviando messaggi di testo truffa, compresi quelli relativi al vaccino COVID-19 per commettere frode[4].
Difendersi da QRishing, vishing e smishing
La formazione e consapevolezza dei rischi e delle minacce nascoste dietro qualsiasi dispositivo è la prima indispensabile raccomandazione da fare a ciascun individuo. In particolare, nel caso degli attacchi QRishing tramite QR code l’attenzione deve essere rivolta alla verifica della URL, all’eventuale presenza di errori (typosquatting) o abbreviazioni (short URL), in tutti i casi è sempre meglio evitare di aprire qualsiasi link, laddove non abbia la certezza della genuinità del collegamento.
Installare le applicazioni di sicurezza anche sui propri dispositivi mobili è importante: i browser desktop, infatti, richiedono all’utente di confermare l’accesso ai siti non sicuri; mentre i browser mobili che non usano tali filtri, di solito espongono l’utente a rischi maggiori.
La verifica degli indirizzi è comunque un momento cruciale che deve riguardare il mittente, i domini, le URL ed eventuali errori in essi contenuti: è dunque un controllo indispensabile per difendersi da attacchi QRishing, vishing o smishing.
Una buona prassi, ad esempio, è la disabilitazione dell’esecuzione automatica di codici, macro e collegamenti, ma anche l’uso dei filtri spam può venirci in aiuto. Anche l’utilizzo del Multi Factor authentication (MFA) e di password sicure (lunghezza caratteri, composte da numeri, lettere – maiuscole e minuscole, nonché caratteri speciali), nonché l’istallazione dei c.d. Password Manager (KeePass Password Safe, Keeper ecc.) per la generazione e conservazione delle credenziali, robuste e sicure, restano le maggiori misure da tenere in considerazione.
Considerando che è sempre il fattore umano a permettere ai criminali di farla franca, riteniamo che la preparazione, la consapevolezza e la corretta postura digitale di ogni utente rappresentano, unitamente alla diffusione di una cultura della sicurezza delle informazioni (confidenzialità, integrità e disponibilità dei dati), siano le misure più efficaci per rispondere alle minacce del dominio cyber.
I consigli ai naviganti per difendersi da attacchi QRishing, vishing e smishing, sin qui dispensati, sono validi, a maggior ragione, quando parliamo dei nostri inseparabili dispositivi telefonici e smartphone di ogni genere, dietro i quali potrebbero pur sempre nascondersi le insidiose tipologie di attacco che abbiamo fin qui trattato.
NOTE
Summary 2nd Q2022. APWG | Phishing Activity Trends Reports. ↑
FBI warns criminals are using fake QR codes to scam users – ABC News (go.com); oppure FBI Warns That Cyber Criminals Now Using QR Codes for Theft (govtech.com); oppure Internet Crime Complaint Center (IC3) | Cybercriminals Tampering with QR Codes to Steal Victim Funds. ↑
Fraudsters Cloned Company Director’s Voice In $35 Million Bank Heist, Police Find (forbes.com) ↑
North Londoner behind vaccine scam texts jailed for 4 years and 3 months | Insights | UK Finance ↑
