CYBER INTELLIGENCE LIVE: ULTIMA ORA

Quishing pec aziendale

Quishing pec aziendale

Quishing su PEC Aziendale: Nuova Ondata di Attacchi Tramite QR Code

La Posta Elettronica Certificata è da sempre considerata uno dei canali di comunicazione più sicuri e affidabili per il business in Italia. Tuttavia, l’eccessiva fiducia riposta in questo strumento sta diventando un’arma a doppio taglio. L’ultimo bollettino del CERT-AgID evidenzia infatti una preoccupante recrudescenza del quishing su PEC aziendale, una tecnica di phishing che utilizza i codici QR per nascondere link malevoli e sottrarsi ai controlli di sicurezza automatizzati.

Sfruttando account PEC precedentemente compromessi o creati ad hoc, i cybercriminali inviano messaggi formali che costringono l’utente a scansionare un codice QR direttamente dallo schermo del computer utilizzando lo smartphone, spostando l’attacco su un dispositivo spesso meno protetto rispetto alla rete aziendale.

🔍 Perché il quishing tramite PEC è così efficace?

Il successo di questa campagna risiede nella combinazione di due fattori: l’autorevolezza del canale e l’architettura tecnica del codice QR.

  • Falso senso di sicurezza: Ricevere una notifica sulla casella PEC riduce drasticamente la soglia di attenzione dell’operatore aziendale, che tende a considerare legittimo qualsiasi allegato o richiesta.
  • Bypass dei filtri antispam e dei gateway email: I sistemi di sicurezza tradizionali analizzano il testo e i link ipertestuali (URL) presenti nelle email. Un codice QR è, a tutti gli effetti, un’immagine: se i sistemi di email security non integrano un motore di OCR (Optical Character Recognition) avanzato, l’esca passa inosservata.
  • Spostamento sul dispositivo personale: Scansionando il codice con lo smartphone, l’utente esce dal perimetro di protezione del PC aziendale (EDR/Proxy), esponendo il proprio dispositivo mobile a portali di phishing studiati per sottrarre credenziali bancarie o di accesso ai servizi cloud.

Per monitorare i dettagli tecnici e gli indicatori di compromissione (IoC) censiti dalle autorità, vi invitiamo a consultare i canali ufficiali del CERT-AgID.

Cyber-RatingFai il nostro test gratuito in meno di 2 minuti: rispondi a 10 semplici domande e scopri il livello di vulnerabilità dei tuoi sistemi.
Inizia il Test →

🛠️ La dinamica dell’inganno: i pretesti più utilizzati

I criminali informatici creano scenari d’urgenza per spingere la vittima all’azione immediata. Nelle ultime varianti di quishing su PEC aziendale, i pretesti più ricorrenti includono:

Falsi aggiornamenti delle credenziali SPID o CIE

L’email simula una comunicazione istituzionale in cui si avvisa l’azienda della necessità di aggiornare urgentemente i dati del rappresentante legale tramite il QR Code allegato, pena la revoca dell’identità digitale.

Notifiche di sanzioni amministrative o atti giudiziari

Viene allegato un finto atto che richiede la scansione del codice per “visualizzare la documentazione completa” relativa a un presunto mancato pagamento o a una sanzione tributaria.

 Questo attacco dimostra come le esche cambino rapidamente. Abbiamo analizzato dinamiche simili nel nostro approfondimento su come i criminali sfruttino il

Brand AI come Esca per il Phishing: Il Nuovo Allarme di Microsoft].

🛡️ Come proteggere l’organizzazione dal Quishing

Arrestare questa minaccia richiede un intervento congiunto tra configurazioni tecnologiche e consapevolezza del personale.

  1. Implementare l’ispezione delle immagini (OCR): È essenziale verificare che la soluzione di Email Security aziendale sia in grado di analizzare e “decodificare” i codici QR presenti nel corpo della mail e negli allegati PDF prima del recapito.
  2. Formazione specifica sul “Fattore PEC”: I dipendenti devono comprendere che la PEC certifica la provenienza e l’integrità del messaggio, ma non l’identità reale del mittente se l’account di quest’ultimo è stato violato. Nessun ente istituzionale o fornitore richiede scansioni di QR Code per procedure critiche tramite email.
  3. Protezione degli Endpoint Mobili (MDR/MTD): Poiché l’attacco si sposta sullo smartphone, estendere le policy di sicurezza aziendali anche ai dispositivi mobili (aziendali e BYOD) tramite soluzioni di Mobile Threat Defense è fondamentale per bloccare la navigazione verso siti di phishing.

🏁 Conclusioni

Il quishing su PEC aziendale ridefinisce i confini del social engineering nel nostro Paese. Di fronte a minacce che aggirano i controlli tecnici sfruttando la fiducia nei canali istituzionali, la formazione continua del personale diventa il pilastro portante della postura di sicurezza aziendale.

Resta sintonizzato sui canali di SecurityLab  per ricevere tempestivamente gli aggiornamenti sui vettori d’attacco emergenti e le relative strategie di mitigazione.

Ti è piaciuto l’articolo? Condividilo con i tuoi colleghi!
Linkedin X-twitter Whatsapp

 

Securitylab.services - Gestionale Toscana Srl - P.Iva  - 02180370971 -  Tutti i diritti riservati

Prenota Consulenza