Pratici, veloci e sempre più utilizzati in qualsiasi ambito. I QR Code rappresentano il modo più semplice per collegarsi a una pagina web tramite smartphone, ma si stanno rapidamente trasformando in un incubo a livello di cybersecurity.
I pirati informatici, infatti, li stanno sfruttando sempre più frequentemente per attirare le potenziali vittime su pagine di phishing o contenenti malware.
L’ultima trovata dei cybercriminali è terribilmente subdola: sfrutta l’e-mail e abbina l’utilizzo dei QR Code all’abuso di una funzionalità di Microsoft Word per ingannare il destinatario.
L’e-mail che arriva nella nostra casella di posta elettronica sembra provenire dalla nostra azienda e contiene un allegato di testo che riguarda benefit aziendali o altri aspetti amministrativi.
Quando apriamo il file, però, Word non riesce ad aprirlo. È danneggiato. Per fortuna Word ci permette di recuperarne il contenuto.
La procedura ha successo e ora possiamo visualizzare il contenuto del prezioso documento.
Per farlo, ci informa il programma, dobbiamo solo scansire il QR Code con il nostro smartphone e inserire le nostre credenziali di Microsoft365.
Tutto bene? No. Perché siamo appena finiti vittima di un attacco di phishing orchestrato da un gruppo di cybercriminali che, da questo momento, potranno accedere al nostro account aziendale.
La tecnica di attacco descritta è stata individuata dai ricercatori di Any.Run, società di cybersecurity che ha analizzato l’ultima frontiera del phishing in grado di sfruttare una funzionalità delle applicazioni Microsoft per offuscare l’attacco. La trovata è quella di alterare il file allegato in modo che sia impossibile aprirlo.
Per farlo, i pirati informatici modificano il codice dell’header inserendo dei dati casuali.
Quando si tenta di aprirlo, il software Microsoft visualizza un messaggio di errore e apre una finestra con il messaggio “Recuperare il contenuto del documento?”.
Ed è qui la chiave del trucco usato dai pirati. L’errore nel codice è infatti talmente banale da consentire a Word di correggerlo facilmente, recuperando il contenuto.
Quello che l’ignara vittima si trova davanti, però, è un documento in cui campeggia un QR Code accompagnato da un messaggio che invita a inquadrarlo per poter visualizzare il contenuto recuperato. Il collegamento inserito nel QR Code porta ad una pagina di phishing gestita dagli stessi cybercriminali, in cui viene chiesto di inserire le credenziali di accesso al proprio account Microsoft365.
Il trucco utilizzato dai cybercriminali ha un duplice effetto. Da un lato crea una “catena di eventi” abbastanza credibile per trarre in inganno la potenziale vittima.
La richiesta delle credenziali Microsoft per accedere a contenuti della propria azienda è infatti una procedura abbastanza comune e tutti gli utenti si sono abituati rapidamente al fatto di dover eseguire il login ogni volta che utilizzano risorse online. In questo caso, quella che dovrebbe essere una procedura per garantire la sicurezza dei sistemi si trasforma in un vero boomerang.
Non solo: l’uso del QR Code, nell’ottica degli autori dell’attacco, consente di superare un altro “ostacolo” comune negli attacchi di phishing.
La maggior parte degli utenti, quando apre un link tramite QR Code, non fa troppo caso all’indirizzo web che sta aprendo. Cosa che, invece, succede invariabilmente quando si deve fare clic sul collegamento tramite PC.
Il secondo vantaggio che offre questa tecnica di attacco è che gli antivirus non sono in grado di individuare il link malevolo. Se Word è in grado di recuperare il contenuto del file, infatti, lo stesso non si può dire per i software di sicurezza.
Secondo i ricercatori di Any.Run, l’analisi attraverso Virus Total (il sito che consente di eseguire la scansione di un file utilizzando tutti i motori antivirus commerciali disponibili) ha dato risultati sconsolanti: nella maggior parte dei casi i file vengono considerati innocui, mentre solo alcuni documenti vengono etichettati come pericolosi. Anche in questo caso, però, ad individuare il collegamento sono solo 2 antivirus su 62.
Fonte:
https://www.wired.it/article/codice-qr-email-lavoro/?utm_source=facebook&utm_medium=social&utm_campaign=dhfacebook&utm_content=null&fbclid=IwY2xjawG-iSBleHRuA2FlbQIxMQABHYgh_kXhi0rleaAHkRujrpFp-6l6b9TFl8oL09Fmx4Hg4FbPU5l9OEL47g_aem_cAglew0M1mVTe2fgVsc1SA
A cura di:
I cybercriminali sfruttano i QR Code nei documenti Word per rubare le credenziali Microsoft365 con attacchi di phishing sempre più sofisticati.
Il preposto risponde sempre della sicurezza, anche quando le prassi sbagliate vengono imposte dall’alto.
