Sophos ha pubblicato i risultati di una ricerca condotta da Sophos X-Ops relativa al
quishing, il vettore di attacco che sfrutta l'invio via posta elettronica di QR code fraudolenti per aggirare le misure di sicurezza anti-phishing adottate dalle aziende.
Un QR code fraudolento inserito in un documento PDF allegato a un messaggio email si presenta sotto forma di una informazione inerente stipendi, benefit o altre comunicazioni ufficiali che un'azienda può dover inviare ai suoi dipendenti. Dal momento che i QR code non sono leggibili dai computer, il dipendente che riceve il messaggio
deve scannerizzare il QR code usando il proprio telefono cellulare; il QR code rinvia quindi a una pagina di phishing che il dipendente potrebbe non riconoscere come tale poiché i telefoni sono generalmente meno protetti dei computer. L'obiettivo degli attaccanti è quello di acquisire password e token per l'autenticazione multifattore (MFA) così da accedere ai sistemi aziendali scavalcando le misure di protezione esistenti.
"Abbiamo trascorso parecchio tempo a setacciare tutti gli esemplari di spam in nostro possesso per trovare tracce di quishing",
ha commentato Andrew Brandt, principal researcher di Sophos X-Ops. "La nostra ricerca ha scoperto che gli attacchi che sfruttano questo particolare vettore sono in via di intensificazione in termini sia di volume che di sofisticazione, specialmente per quanto riguarda l'aspetto del documento PDF accompagnatorio”.
Oltre alle tattiche di social engineering e alla qualità di messaggi email, allegati e aspetto grafico dei QR code, questi attacchi sembrano essere in crescita anche in termini di organizzazione. Alcuni malintenzionati hanno infatti iniziato a
offrire strumenti as-a-service per lanciare campagne di phishing usando QR code fraudolenti. Oltre a funzionalità come l'aggiramento dei controlli CAPTCHA o la generazione di indirizzi IP intermedi per superare il rilevamento automatico delle minacce, queste organizzazioni criminali forniscono una sofisticata piattaforma di phishing capace di catturare le credenziali o i token MFA degli individui colpiti.