Nuova truffa QR Code: il phishing ora usa l’arte ASCII per bucare i filtri email

I ricercatori di Kaspersky Lab hanno identificato una nuova tecnica di phishing QR code che utilizza caratteri ASCII al posto delle immagini tradizionali. Il metodo consente agli aggressori di eludere i sistemi di sicurezza email progettati per rilevare QR Code malevoli. Le campagne osservate sfruttano false richieste DocuSign per convincere le vittime a scansionare codici che conducono a pagine di login contraffatte, con l’obiettivo di sottrarre credenziali aziendali.

Le email di phishing con codici QR rappresentano da tempo un problema diffuso, ma i ricercatori di Kaspersky Lab avvertono che gli aggressori hanno trovato un nuovo modo per aggirare le protezioni dei servizi di posta elettronica. Ora, invece di utilizzare immagini normali, gli aggressori creano codici QR a partire da caratteri di testo Unicode, convertendoli di fatto in grafica ASCII.

Secondo gli esperti, questo approccio consente agli aggressori di aggirare i meccanismi di sicurezza che analizzano le immagini incorporate o tentano di riconoscere automaticamente i codici QR nelle immagini.

L’arte ASCII esiste dagli anni ’60, quando i computer non erano ancora in grado di visualizzare immagini, quindi le immagini venivano create a partire da simboli. Questa tecnica è stata poi adottata dagli spammer: negli anni 2000, hanno iniziato a camuffare link e contenuti dannosi come immagini di testo per eludere i filtri antispam e i sistemi di analisi delle immagini. Ora, lo stesso meccanismo viene utilizzato per i codici QR.

I ricercatori osservano che almeno uno schema di phishing simile è già attivamente utilizzato negli attacchi. Una potenziale vittima riceve un’e-mail aziendale, apparentemente proveniente da un partner commerciale.

L’e-mail contiene un messaggio relativo a un “documento riservato” che deve essere firmato tramite DocuSign. Per accedere al file, all’utente viene richiesto di scansionare un codice QR. Questo codice conduce a una falsa pagina di accesso dove gli aggressori tentano di rubare le credenziali aziendali della vittima.

Si osserva che, visivamente, un codice QR di questo tipo assomiglia a una normale immagine, sebbene in realtà sia composto interamente da caratteri di testo. Per questo motivo, alcune soluzioni di sicurezza non lo riconoscono come codice QR, e l’e-mail elude i filtri e raggiunge la casella di posta del destinatario.

“Quando un codice QR viene utilizzato per reindirizzare gli utenti a una risorsa che richiede l’inserimento di credenziali aziendali, è fondamentale rimanere vigili. Se il codice QR è generato utilizzando testo ASCII, si tratta quasi certamente di un attacco di phishing o di un’esca progettata per indurli a cliccare su un link dannoso”, avverte Roman Dedenok, esperto di sicurezza informatica presso Kaspersky Lab.

Gli esperti ritengono che, man mano che i filtri antispam e gli strumenti di sicurezza diventano più efficaci nel riconoscere il phishing tramite codici QR, i malintenzionati cercheranno nuovi metodi di camuffamento. L’arte ASCII potrebbe benissimo diventare uno di questi strumenti.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance