Quella dei QR code è una tecnologia piuttosto datata (per la cronaca, sono stati inventati in Giappone nel 1994 dall'azienda Denso Wave, sussidiaria della Toyota, per tracciare i pezzi delle automobili), ma è ancora oggi molto utilizzata in svariati ambiti. Compreso quello del cybercrime. Un QR code in sé per sé non è né sicuro né pericoloso: è semplicemente un “link grafico” che rimanda a un'azione. Può aprire un sito legittimo, farci accedere a una rete Wi-Fi o mostrarci un menù, ma può anche indirizzarci verso una pagina Web malevola, costruita per sottrarre dati o indurci a compiere operazioni che non faremmo consapevolmente. In questo approfondimento cerchiamo quindi di chiarire perché i QR code possono essere pericolosi diventando un vettore di possibili rischi informatici in contesti specifici, quali sono gli scenari più realistici di abuso e come possiamo proteggerci con buon senso, senza cadere nella trappola della diffidenza o, ancor peggio, in quella della paranoia.
Perché i QR code possono essere pericolosi
Anche se i QR code esistono dagli anni ’90, ad accelerarne l'utilizzo è stata l'indimenticabile pandemia da COVID-19, periodo in cui disporre di soluzioni rapide che permettessero senza contatto l'accesso a vari servizi era necessario. A partire dal 2020 l'uso dei codici QR è cresciuto e ora li troviamo praticamente ovunque: su schermi, manifesti, prodotti, biglietti e dispositivi privi di tastiera, come le smart TV. Tecnicamente un QR code è un codice bidimensionale che contiene dati leggibili da una fotocamera: quei dati possono rappresentare un indirizzo Web, un testo, e così via. Non è richiesta alcuna infrastruttura complessa e chiunque può generarne uno in pochi secondi sfruttando un'infinità di servizi online e applicazioni utili a questo scopo. Ed è proprio questa loro popolarità e facilità nel generarli a renderli interessanti anche per i criminali informatici.
Esistono casi documentati di truffe basate su QR code, ma il loro impatto è ancora relativamente contenuto rispetto ad altre truffe informatiche. Gli episodi più comuni avvengono in luoghi aperti come stazioni o parcheggi (dove potrebbero trovarsi sui parchimetri o sotto forma di finte-multe sui parabrezza delle auto, dove un codice può essere sostituito con un adesivo fraudolento. In altri casi, i truffatori potrebbero persino inviare a casa lettere cartacee contenenti QR truffaldini (come accaduto in Svizzera qualche tempo fa). Spesso non basta la scansione del codice QR a causare il danno: entra in gioco anche l'ingegneria sociale, cioè l'insieme di tecniche che sfruttano la fiducia e le reazioni emotive delle persone, sfruttate dai criminali informatici per indurre le proprie vittime a compiere azioni pericolose (come compilare moduli, fornire informazioni di pagamento, e simili).
Non a caso, come sottolinea la NCSC (National Cyber Security Centre) i QR code «vengono sempre più utilizzati nelle e-mail di phishing» compiendo una pratica chiamata quishing, fusione tra “QR” e “phishing”. Il phishing, per la cronaca, è una tecnica che mira a indurre la vittima a fornire informazioni personali fingendo comunicazioni ufficiali. Inserire un QR code in un messaggio ha diversi vantaggi per l'attaccante: se un utente può diffidare da un link sospetto, un'immagine contenente un QR code potrebbe essere interpretata come un assolutamente innocua e, di conseguenza, potrebbe scansionare il codice senza farsi troppi problemi. La truffa troverebbe poi il suo effettivo compimento nell'eventualità in cui l'utente compie le azioni pensate dal criminale informatico che ha teso la trappola. Ad esempio, scaricando applicazioni che in realtà nascondono un malware, compilando moduli online pensati per perpetrare furti d'identità o frodi bancarie, etc.
Come difendersi dai codici QR malevoli
Per difendersi dai QR code malevoli, è importante fare attenzione al luogo (fisico o digitale che sia) in cui si va a scansionare i codici in questione. Prestate attenzione a questi esempi.
- Ristoranti, pub, bar, e simili: in luoghi come questi il rischio è generalmente basso, visto che i QR code vengono solitamente usati dai gestori di questi locali per effettuare il download del menu, del listino prezzi, etc.
- Parcheggi, stazioni, bagni pubblici, etc.: in spazi non presidiati come questi, il rischio di incappare in codici QR malevoli è decisamente più alto. Qui dovreste tenere la vostra soglia d'allerta più alta.
- E-mail, messaggi diretti e comunicazioni online varie: visto l'aumento di casi di quishing via e-mail, anche in questo caso bisogna prestare la massima attenzione a messaggi sospetti che vi invitano a scansionare un codice QR.
Come vi abbiamo già spiegato, di per sé la scansione di un QR code non dovrebbe comportare grossi rischi; il problema sorge dopo, quando vengono compiute azioni potenzialmente pericolose nella pagina Web che si apre una volta scansionato il codice bidimensionale. In questo caso, è bene tenere a mente di non fornire informazioni personali (come quelle di pagamento) e di non scaricare app di alcun genere (se non tramite lo store ufficiale del vostro dispositivo). Altro suggerimento “bonus” fornito dal National Cyber Security Centre del Regno Unito, meglio utilizzare lo scanner installato “di serie” sullo smartphone anziché app di terze parti.
;Resize,width=578;)
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
