Il phishing mediante codice QR, noto anche come “quishing”, è attualmente una delle varianti più perfide nel vasto mondo degli attacchi di phishing. La causa: il link dannoso non è direttamente riconoscibile come testo nel corpo della e-mail, ma è invece “nascosto” all’interno di un file di immagine.
Inoltre, l’accesso da parte dell’utente avviene spesso tramite un dispositivo mobile privato o non adeguatamente protetto. È proprio questo cambiamento nel percorso di attacco che rende il phishing mediante codice QR così pericoloso. L’attacco vero e proprio avviene al di fuori dell’ambiente aziendale protetto. Il metodo, quindi, colpisce in modo mirato i meccanismi di protezione convenzionali, sotto vari aspetti.
Analisi multilivello per una protezione ottimale
In Retarus ci affidiamo invece al nostro collaudato e coerente approccio multi-layer anche per combattere il phishing mediante codice QR. Invece di fare affidamento su un’unica fonte di dati o tecnologia di test, la nostra Advanced Threat Protection (ATP) combina diversi potenti metodi di analisi. Da questa combinazione scaturisce una valutazione complessiva fondata e concorde, con sicurezza ottimizzata e tassi di falsi positivi estremamente bassi.
Per il quishing, ad esempio, si applicano le seguenti regole:
-
- Controllo dei file basato su hash: se un codice QR è già noto per essere un’immagine allegata dannosa, viene identificato e bloccato in modo affidabile in base alla “impronta digitale del documento”.
-
- Analisi anti-phishing supportata dall’IA: potenti motori esaminano le e-mail basandosi su caratteristiche strutturali e analisi dei contenuti, fino a criteri euristici e comportamentali.
-
- Analisi sandbox: tutte le e-mail vengono sottoposte a un prefiltraggio intelligente in Retarus. In questo modo si garantisce che solo i messaggi, per i quali ci si può aspettare che un controllo approfondito apporti un valore aggiunto, finiscano nella sandbox – solo uno dei segreti dei nostri imbattibili tempi di elaborazione. Naturalmente, questo vale anche per i messaggi con codici QR. In questo caso, la sandbox supporta l’eventuale controllo degli URL abbreviati, per rendere trasparenti gli indirizzi di destinazione dissimulati.
La perfetta interazione tra i diversi algoritmi di test è fondamentale in tutto questo. In pratica, raramente è solo il codice QR in sé a rappresentare un’anomalia. Spesso sono presenti ulteriori indicatori, ad esempio nell’intestazione, nella struttura del messaggio o nel comportamento generale dell’e-mail. Il nostro approccio di analisi a più livelli assicura inoltre che i risultati non siano mai valutati in modo isolato, ma sempre all’interno del contesto.
Protezione contro il quishing nel quadro di Retarus Advanced Threat Protection
Un’altra differenza fondamentale rispetto a molti altri fornitori: con Retarus non è necessario acquistare separatamente la protezione contro il phishing mediante codice QR. È parte integrante del pacchetto ATP. L’ambizione è chiara: i nostri clienti devono poter beneficiare in ogni momento dello stato attuale della difesa dalle minacce, senza dover prendere in considerazione manualmente nuovi scenari di attacco o attivare servizi aggiuntivi. Questo è un fattore decisivo, soprattutto per metodi di attacco dinamici come il quishing.
