È iniziata a maggio 2023 una campagna di phishing che utilizza codici QR dannosi per esfiltrare le credenziali Microsoft degli utenti di una vasta gamma di settori. A lanciare l’allarme sono i ricercatori di Cofense, secondo cui l'obiettivo più importante fra quelli presi di mira è stata una grande azienda energetica con sede negli Stati Uniti. Altri quattro settori target includono produzione, assicurazioni, tecnologia e servizi finanziari.

Gli esperti spiegano che la maggior parte dei link di phishing integrati nei codici QR erano costituiti da URL di reindirizzamento associati a Bing, Salesforce e Cloudflare, che richiedevano l’inserimento delle credenziali di Microsoft. L’oggetto delle email era quasi sempre una falsa notifica di sicurezza dell’azienda di Redmond.

Le email malevole falsificavano le notifiche di sicurezza Microsoft che includono allegati PNG o PDF e che chiedono al destinatario di scansionare un codice QR. Abbiamo spiegato più volte i rischi legati di QR Code, divenuti rapidamente popolari fra gli utenti e per questo abusati ampiamente per sferrare attacchi cyber. Il matrimonio fra phishing e QR Core si è consolidato con il blocco automatico delle macro da parte di Microsoft, e porta il non trascurabile vantaggio di mascherare i link malevoli nel codice QR, a sua volta costituito da una immagine PNG o da un allegato PDF che sfuggono facilmente alla scansione di sicurezza.

Questa campagna è un’occasione per ricordare le best practice da seguire nell’approccio ai QR Code: quando recapitati via email, trattarli come qualsiasi altro link in una mail non richiesta, o addirittura con maggiore cautela. Una vola inquadrato il QR, prestare attenzione all’URL a cui si viene indirizzati, in particolare se si tratta di un dominio legittimo o di uno canaglia. Infine, è bene ricordare che non serve scaricare il lettore di codici QR da uno store: quello integrato nativamente in qualsiasi smartphone va più che bene e si evitano così i rischi legati a scanner di codici QR falsi e quelli che vengono forniti in bundle con extra indesiderati.