Negli ultimi anni i QR code sono diventati uno strumento estremamente diffuso nell’interazione tra mondo fisico e servizi digitali. Dalla consultazione di menu digitali nei ristoranti ai pagamenti contactless, fino all’accesso rapido a portali web o applicazioni, la scansione di un codice QR è ormai un gesto quotidiano per milioni di utenti.

Questa diffusione capillare ha però attirato anche l’attenzione degli attori malevoli. Sempre più spesso i codici QR vengono utilizzati come vettore di attacco in campagne di QR phishing, una variante del phishing tradizionale che sfrutta la difficoltà degli utenti nel verificare preventivamente il contenuto di un codice.

Dal punto di vista della sicurezza informatica e della digital forensics, questo fenomeno introduce nuove sfide investigative e nuovi scenari di analisi.

Il QR code come vettore di attacco

Un codice QR è essenzialmente una rappresentazione grafica bidimensionale in grado di codificare una stringa di dati. Nella maggior parte dei casi il contenuto consiste in un URL che viene interpretato automaticamente dallo smartphone o dall’applicazione di scansione.

Proprio questa caratteristica rende il QR code un vettore particolarmente efficace per attività di social engineering.

A differenza di un link tradizionale visibile all’interno di una email o di una pagina web, il contenuto di un QR code non è immediatamente leggibile dall’utente. L’interazione avviene quindi sulla base della fiducia nel contesto in cui il codice è inserito. Gli attaccanti sfruttano questo meccanismo per indirizzare le vittime verso infrastrutture controllate, utilizzando tecniche come:

  • pagine di autenticazione contraffatte
  • portali di pagamento fraudolenti
  • download di applicazioni malevole
  • raccolta di credenziali o informazioni personali

Questa tecnica è spesso indicata con il termine “quishing”, cioè phishing veicolato tramite QR code.

Scenari operativi di QR phishing

Le campagne di QR phishing possono essere realizzate sia in contesti digitali sia in contesti fisici.

Attacchi in contesti digitali

Nel contesto online i QR code possono essere incorporati in:

  • email di phishing
  • documenti PDF
  • newsletter
  • messaggi su piattaforme di messaggistica
  • pagine web compromesse

In questo caso il codice sostituisce il tradizionale link malevolo, aggirando in alcuni casi i filtri antispam o i sistemi di analisi automatica dei link.

Attacchi in contesti fisici

Particolarmente insidiosi sono gli attacchi che sfruttano supporti fisici. Tra gli scenari più comuni:

  • QR code falsi applicati su parchimetri
  • adesivi sovrapposti a codici legittimi
  • manifesti pubblicitari alterati
  • volantini distribuiti in luoghi pubblici
  • punti di ricarica per veicoli elettrici

In questi casi l’utente scansiona il codice ritenendolo legittimo e viene reindirizzato verso una pagina controllata dall’attaccante.

Tecniche di evasione e infrastrutture malevole

Gli attori malevoli utilizzano spesso tecniche avanzate per rendere più difficile l’individuazione dell’infrastruttura fraudolenta. Tra le più comuni:

  • URL shortener e redirect multipli
  • Il QR code può contenere un link abbreviato che attiva una catena di redirect verso il dominio finale.
  • Domini temporanei
  • I domini utilizzati nelle campagne di phishing vengono registrati e abbandonati rapidamente per ridurre la possibilità di blocco.
  • Landing page dinamiche

Le pagine malevole possono modificare il contenuto in base al dispositivo o alla geolocalizzazione della vittima. In alcuni casi l’URL contenuto nel codice viene offuscato o codificato per evitare il riconoscimento automatico.

Analisi forense di un attacco basato su QR code

Dal punto di vista investigativo, le campagne di QR phishing presentano alcune caratteristiche peculiari che influenzano l’attività di analisi forense.

Acquisizione delle evidenze

La prima fase dell’analisi riguarda la raccolta delle evidenze digitali e fisiche. Tra gli elementi di interesse: immagine o fotografia del QR code, dispositivo utilizzato per la scansione, log di navigazione del browser, traffico di rete generato dall’accesso, eventuali applicazioni installate successivamente.

Nel caso di codici collocati in ambienti fisici può essere utile acquisire anche: immagini della posizione del codice, eventuali adesivi o materiali utilizzati, registrazioni video di sistemi di sorveglianza

Decodifica e analisi del QR code

Una delle prime attività investigative consiste nella decodifica del contenuto del QR code. Attraverso strumenti di analisi è possibile estrarre: l’URL originale, eventuali parametri contenuti nella stringa, identificatori utilizzati per tracciare le vittime. Questa fase permette di identificare rapidamente l’infrastruttura di attacco.

Analisi dell’infrastruttura web

Una volta identificato il dominio utilizzato nella campagna, l’analisi può proseguire con: esame dei record DNS, identificazione dell’hosting provider, analisi dei certificati TLS, verifica della cronologia del dominio. Strumenti di threat intelligence e database OSINT possono fornire informazioni utili sulla possibile attribuzione dell’infrastruttura.

Analisi del traffico di rete

Quando disponibili, i log di rete consentono di ricostruire la sequenza di interazioni tra il dispositivo della vittima e l’infrastruttura malevola. Tra i dati più rilevanti: richieste HTTP/HTTPS, indirizzi IP coinvolti, eventuali download di file, sequenza di redirect. Questa analisi può evidenziare ulteriori domini o server coinvolti nella catena di attacco.

Implicazioni per la sicurezza e la prevenzione

L’aumento degli attacchi basati su QR code evidenzia come anche tecnologie apparentemente semplici possano diventare strumenti efficaci nelle campagne di cybercrime.

Dal punto di vista della prevenzione è fondamentale promuovere:

  • maggiore consapevolezza degli utenti
  • verifica degli URL prima dell’interazione
  • utilizzo di soluzioni di sicurezza mobile
  • monitoraggio delle infrastrutture web

Il QR phishing rappresenta un esempio significativo di come gli attaccanti siano in grado di sfruttare nuove modalità di interazione tra mondo fisico e digitale.

Per noi, analisti di sicurezza e specialisti di digital forensics, questo fenomeno richiede l’adattamento delle metodologie investigative e l’integrazione di competenze che spaziano dalla cybersecurity alla threat intelligence fino all’analisi dei contesti fisici in cui gli attacchi vengono orchestrati.

In un panorama di minacce in continua evoluzione, la capacità di comprendere e analizzare questi nuovi vettori di attacco diventa un elemento fondamentale per contrastare efficacemente le attività di cybercrime.