Le minacce informatiche non vanno mai in vacanza. Mentre gli utenti si abituano a difendersi da virus tradizionali e phishing ormai noti, i cybercriminali affilano nuove armi, più sofisticate e difficili da intercettare. Barracuda, azienda di riferimento nel settore della sicurezza informatica, ha recentemente documentato tre nuove tipologie di attacco che stanno mietendo vittime in tutto il mondo. Al centro della scena: codici QR costruiti in modo da risultare invisibili ai filtri antispam, finte notifiche di Microsoft Teams e browser fraudolenti che imitano alla perfezione le interfacce di Facebook.
La particolarità di queste minacce sta nella loro capacità di sfruttare strumenti ormai parte della nostra quotidianità digitale. Chi non ha mai inquadrato un QR code con lo smartphone per accedere al menù di un ristorante, scaricare un’app o collegarsi a una rete Wi-Fi? E chi non utilizza Teams per riunioni di lavoro o Facebook per restare in contatto con amici e familiari? Proprio questa familiarità rende le nuove truffe particolarmente insidiose: colpiscono nel momento in cui abbassiamo la guardia, convinti di compiere gesti innocui e routinari.
Il primo e più raffinato meccanismo riguarda i codici QR fantasma. L’attacco inizia con un’email apparentemente innocua, che contiene pochissimo testo e un invito a scansionare un codice per accedere a informazioni urgenti o servizi esclusivi. Fin qui, nulla di nuovo. La vera innovazione sta nella tecnica di costruzione del codice stesso. Invece di incorporare un’immagine tradizionale, che i sistemi di sicurezza possono facilmente analizzare e bloccare, i cybercriminali creano il QR code utilizzando minuscole celle di tabella HTML. Ogni cella viene colorata di bianco o nero, e l’insieme di queste celle, una volta visualizzato nell’applicazione di posta elettronica come Outlook o Gmail, forma l’immagine perfetta di un codice QR funzionante.
Questa tecnica aggira i filtri antispam perché non viene rilevata come immagine sospetta: è semplice codice HTML, lo stesso linguaggio utilizzato per formattare messaggi legittimi. Quando l’utente inquadra il codice con lo smartphone, viene reindirizzato verso pagine di phishing studiate per rubare credenziali, dati personali o informazioni bancarie. La semplicità con cui si cade nella trappola è disarmante: basta un gesto automatico, quello di avvicinare la fotocamera del telefono allo schermo del computer.
La seconda tendenza individuata da Barracuda sfrutta Microsoft Teams, piattaforma divenuta centrale per la comunicazione aziendale soprattutto dopo la pandemia. Gli attaccanti inviano notifiche false che simulano messaggi interni, avvisi di riunioni o richieste di approvazione documentale. L’aspetto grafico è curato nei minimi dettagli, con loghi, font e struttura identici a quelli ufficiali. L’utente clicca sul link contenuto nella notifica, convinto di accedere a un documento condiviso o a una videochiamata, e invece finisce su una pagina che chiede di reinserire le credenziali di accesso. Anche qui, il gioco è fatto: una volta ottenuti username e password, i criminali possono infiltrarsi nei sistemi aziendali, sottrarre dati sensibili o avviare ulteriori attacchi laterali.
Il terzo vettore è forse il più subdolo perché colpisce gli utenti di Facebook, social network con miliardi di iscritti in tutto il mondo. La truffa inizia con un’email che avverte di una presunta violazione del copyright. Il messaggio sembra provenire direttamente dal team legale di Facebook e utilizza un linguaggio formale, con riferimenti a normative e conseguenze legali. L’utente, preoccupato di aver involontariamente infranto qualche regola, clicca sul link per verificare i dettagli della segnalazione.
Qui interviene la vera innovazione tecnica: invece di reindirizzare verso un sito esterno facilmente riconoscibile come fraudolento, la pagina di phishing si presenta all’interno di quella che sembra una normale finestra del browser. Barra degli indirizzi, icone di sicurezza, pulsanti di navigazione: tutto appare autentico. In realtà, si tratta di una pagina web statica costruita ad arte per simulare l’interfaccia del browser. L’utente inserisce le proprie credenziali di Facebook, convinto di autenticarsi sul sito ufficiale, e consegna inconsapevolmente le chiavi del proprio account ai truffatori.
Cosa rende questi attacchi così efficaci. La risposta sta nella combinazione di ingegneria sociale e sofisticazione tecnica. I cybercriminali non si limitano più a inviare email mal scritte o pagine palesemente false. Studiano il comportamento degli utenti, replicano fedelmente le interfacce dei servizi più utilizzati e soprattutto sfruttano l’elemento della familiarità. Un QR code, una notifica di Teams, un avviso di Facebook: sono tutti elementi che fanno parte del nostro ecosistema digitale quotidiano, e proprio per questo tendiamo a fidarci.
Gli esperti di Barracuda suggeriscono alcune contromisure di base, ma efficaci. Prima di scansionare qualsiasi codice QR ricevuto via email, è fondamentale verificare l’indirizzo del mittente e il contesto del messaggio. Diffidare di comunicazioni generiche, prive di dettagli personali o che richiedono azioni urgenti senza fornire spiegazioni dettagliate. Per quanto riguarda le notifiche di Teams o altri servizi aziendali, meglio accedere alle piattaforme digitando manualmente l’indirizzo nel browser, piuttosto che cliccare su link contenuti nelle email. Infine, prestare sempre attenzione alla barra degli indirizzi: se manca o se l’URL non corrisponde al dominio ufficiale del servizio, è molto probabile che si tratti di una truffa.
