Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Quishing Nordcoreano: il QR phishing che ruba token e bypassa l’MFA colpendo aziende e governi
Nel panorama della sicurezza informatica cresce una tecnica di phishing sempre piu insidiosa che sfrutta i codici QR per ingannare le vittime e superare le difese aziendali. Questa pratica e conosciuta come quishing, unione tra QR e phishing, e viene utilizzata in campagne mirate di spear phishing contro organizzazioni strategiche.
L allarme riguarda attori di minaccia legati alla Corea del Nord, noti per operazioni di social engineering sofisticate e persistenti.
Il meccanismo e semplice ma efficace. La vittima riceve un email credibile che sembra provenire da un contatto reale come un consulente, un dipendente di ambasciata o un collega. Nel messaggio viene richiesto di scansionare un codice QR per accedere a un questionario, a un presunto drive sicuro o a una pagina di registrazione per un evento. La scansione sposta l azione dal computer aziendale, spesso protetto da policy, filtri e controlli, a uno smartphone personale o non gestito. Su mobile, molte organizzazioni hanno minore visibilita e meno strumenti di protezione, rendendo piu facile l accesso a siti malevoli e la raccolta di credenziali.
Le campagne descritte includono inviti a conferenze inesistenti e richieste di pareri su temi geopolitici, con landing page progettate per imitare schermate di login, ad esempio per account Google. L obiettivo non e solo rubare username e password, ma anche ottenere session token e riutilizzarli per bypassare la multi factor authentication. In questo scenario, l attaccante puo entrare negli account cloud senza generare i classici avvisi di MFA fallita, compromettere la casella email e avviare ulteriori attacchi dall interno, aumentando la credibilita dei messaggi successivi.
Questa catena di compromissione e particolarmente pericolosa per aziende, enti governativi, universita e think tank, perche combina spear phishing, furto di identita digitale e persistenza negli ambienti cloud. Per ridurre il rischio, e fondamentale trattare i codici QR come link potenzialmente ostili, verificare sempre il contesto della richiesta, usare protezioni mobile adeguate e adottare controlli che limitino l abuso dei token di sessione.