Codici QR dannosi: la nuova frontiera del phishing passa dall’HTML

Sappiamo che i criminal hacker riescono sempre a sorprenderci, e anche questa volta ci stupiscono per le innovazione e i modi che inventano per poter superare gli ostacoli, come i filtri di antispam.

I criminali informatici hanno trovato un modo inaspettato per aggirare la protezione dei servizi di posta elettronica contro i codici QR dannosi, e lo hanno fatto in modo piuttosto elegante.

Invece delle solite immagini, hanno iniziato a inviare codici QR composti interamente da codice HTML. Di conseguenza, le email appaiono innocue e spesso i sistemi di sicurezza semplicemente non le riconoscono come un attacco di phishing nascosto.

La nuova campagna è stata portata all’attenzione degli specialisti dell’Internet Storm Center del SANS Technology Institute. Tra il 22 e il 26 dicembre, una serie di email di phishing sono arrivate nelle loro caselle di posta. I codici QR erano “disegnati” utilizzando tabelle HTML, anziché allegati come immagini, come di consueto.

Codice QR composto da tabelle HTML (Internet Storm Center)

Il trucco si è rivelato sorprendentemente efficace. La maggior parte dei meccanismi di protezione esistenti cerca i codici QR nelle immagini, ma in questo caso non c’è nulla da analizzare. Gli esperti sottolineano che questa tecnica consente di aggirare il rilevamento e l’analisi automatici dei codici QR nelle e-mail.

I messaggi in sé erano il più semplici possibile. Poche righe di testo e un codice QR, senza dettagli superflui. I destinatari venivano incoraggiati a scansionare il codice per visualizzare e firmare il documento. Visivamente, tutto sembrava plausibile e non destava sospetti.

Tecnicamente, ogni pixel del codice QR era una cella separata in una tabella HTML di 35 x 35 pixel. Lo sfondo della cella era colorato di nero o bianco, formando un motivo familiare. Per l’utente, questo codice appariva quasi normale, se non fosse stato leggermente compresso verticalmente.

Dopo aver scansionato il codice QR, la vittima veniva reindirizzata a un sito di phishing progettato per rubare le credenziali. Sebbene la tecnica in sé non sia nuova, il suo utilizzo in attacchi reali dimostra ancora una volta i pericoli di affidarsi a presupposti consolidati sulle modalità di distribuzione dei contenuti dannosi.

Gli autori dello studio sottolineano che le sole misure tecniche non possono fermare tutte le minacce, soprattutto quando gli attacchi impiegano una combinazione di tecnologia e ingegneria sociale. In questo gioco del gatto e del topo, gli aggressori cercano e trovano costantemente nuove scappatoie, e la storia dei codici QR HTML ne è un ulteriore esempio, sicuramente aiutati da una buona dose di intelligenza artificiale.

Silvia Felici

Red Hot Cyber Security Advisor, Open Source e Supply Chain Network. Attualmente presso FiberCop S.p.A. in qualità di Network Operations Specialist, coniuga la gestione operativa di infrastrutture di rete critiche con l'analisi strategica della sicurezza digitale e dei flussi informativi.

Aree di competenza: Network Operations, Open Source, Supply Chain Security, Innovazione Tecnologica, Sistemi Operativi.

Visita il sito web dell'autore