Tutti pazzi per il QR Code. Ma attenzione alla scansione facile

Security Awareness
3 Aprile 2022
qr-code
qr-code

Se fino a pochi anni fa il QR code era una strana parola e un disegno abbastanza incomprensibile, oggi è diventato qualcosa che tutti conoscono e di cui sembra non si possa più fare a meno. Addirittura c’è chi ama tatuarselo sulla pelle per averlo sempre con sé.

Ma cos’è esattamente un codice QR?

E’ un codice a barre quadrato e bidimensionale la cui funzione principale è l’archiviazione di informazioni e dati. Un solo codice può arrivare a contenere fino a 7.089 caratteri numerici e 4.296 caratteri alfanumerici.

QR sta per “Quick Response”, cioè “risposta rapida”. Questo proprio perché il codice si caratterizza per la velocità attraverso cui fornisce informazioni che sono decodificate mediante i dispositivi mobili. Quindi, per accedere a un qualsiasi archivio di informazioni (che banalmente può essere anche il menù di un ristorante) sarà sufficiente inquadrare il codice con la fotocamera del proprio cellulare e, in men che non si dica, si verrà indirizzati alla pagina desiderata.

La sua invenzione risale ai primi anni ’90, quando un ingegnere della società Denso Wave escogitò un metodo per tenere traccia dei componenti dei veicoli nell’industria automotive durante il loro assemblaggio. Per farlo trasse ispirazione dalle tavole utilizzate nel gioco tradizionale cinese Go, lo stesso impiegato per lo sviluppo dell’intelligenza artificiale AlphaGo di DeepMind (Google).

Il suo utilizzo si è diffuso prima in Giappone, dove è stato impiegato principalmente nelle pubblicità di giornali e riviste e cartelloni stradali. In Europa e negli Stati Uniti questo tipo di tecnologia 2D si è diffusa solo verso la fine degli anni duemila come effetto dell’espansione del mercato degli smartphone. Questi ultimi infatti sono gli strumenti perfetti per veicolare le informazioni smart dei QR code.

I QR Code sono diventati oggi uno strumento di uso comune che consente di veicolare informazioni di tutti i tipi. Fino all’escalation finale del Green Pass. Un codice QR in grado di contenere le nostre informazioni sanitarie e che ci consente di accedere ai diversi servizi pubblici e privati.

Qishing, i rischi nascosti nel QR Code

Questo strumento che, come tutta la tecnologia, può facilitare molto la vita di tutti giorni e l’accesso a numerosi servizi, va però “maneggiato” con cura perché presenta anche delle pericolose ombre.

Tanto che in un recente rapporto, McAfee ha elencato il Qishing, cioè l’abuso e l’utilizzo malevolo dei codici QR, come una delle cinque principali minacce per gli anni a venire.  La tecnica utilizzata è più o meno questa. Le vittime scansionano codici QR malevoli e finiscono in siti web fraudolenti. Quasi sempre per accedere bisogna fornire alcuni dati “essenziali” come il nome utente, la password e le informazioni di pagamento. Inutile dire che ovviamente tutte queste informazioni finiscono nelle mani di criminali cyber. In altri casi è sufficiente la sola scannerizzazione del codice QR per scaricare un malware sul proprio dispositivo.

La questione è diventata via via più preoccupante tanto che nello scorso gennaio l’FBI, con un warning, ha raccomandato agli americani di fare molta attenzione a questo tipo di attacchi. In particolare di prestare molta attenzione ai codici QR utilizzati come strumento di pagamento. L’FBI ha reso noto che i criminali possono rubare soldi alle ignare vittime semplicemente reindirizzando i pagamenti su siti malevoli.

Un warning arrivato subito dopo che la Polizia di Stato del Massachusetts aveva reso pubblico che alcuni codici QR utilizzati sui parchimetri avevano collegato gli utenti a siti di pagamento fraudolenti. Invece di pagare per il parcheggio, dunque, la vittima finiva per inviare le informazioni di pagamento ai truffatori.

Cosa si può fare per mettersi al sicuro dal Qishing?

Partendo dalla consapevolezza che sul web è proprio l’errore umano che spalanca le porte ai criminali, quando abbiamo a che fare, come in questo caso, con una tecnologia nuova e molto diffusa dobbiamo affinare ancora di più le antenne dell’attenzione e della consapevolezza. Il fatto che la maggioranza degli utenti sia poco informata sui risvolti opachi dell’utilizzo dei QR code, offre infatti facilmente il fianco agli hacker sempre in cerca di nuove strade per accedere al loro crimine preferito.

In generale, dunque, qualsiasi codice QR dovrebbe essere considerato sospetto e prima di scansionarlo bisognerebbe accertarsi della sua affidabilità.

Nel suo Warning, la stessa FBI elenca una serie di accortezze per evitare brutte soprese. Buone pratiche da seguire come:

  • Dopo aver scansionato un codice QR, controllare l’URL per assicurarsi che sia il sito previsto e che appaia autentico. Un nome di dominio fraudolento può apparire simile a quello autentico, ma con errori di battitura o lettere fuori posto.
  • Prestare sempre molta attenzione prima di immettere dati sensibili, personali o finanziari, in un sito. Ma prestarne ancora di più se per raggiungere il sito si è utilizzato un codice QR.
  • Prima di scansionare un codice QR, assicurarsi che il codice non sia stato manomesso, ad esempio con un adesivo posizionato sopra il codice originale.
  • Evitare di scaricare APP partendo da un codice QR. Per un download più sicuro utilizzare gli APP Store ufficiali.
  • Diffidare sempre se qualcuno richiede di effettuare un pagamento utilizzando un codice QR. Soprattutto se si tratta di un acquisto effettuato di recente e il cui pagamento risulterebbe non essere andato a buon fine. In questi casi contattare direttamente, utilizzando solo i canali ufficiali, l’azienda che reclama il pagamento per chiedere chiarimenti. 
  • Ricordarsi che non è necessario scaricare alcuna APP per effettuare lo scanner dei codici QR. La maggior parte dei cellulari dispone di uno scanner integrato nella fotocamera. In questo modo si riducono i rischi di scaricare APP malevoli sul proprio dispositivo.
  • Anche quando un codice QR sembra provenire da una fonte conosciuta, prima di utilizzarlo verificarne sempre la provenienza effettiva.
Formazione e addestramento per evitare le scansioni inconsapevoli

Considerato che il Qishing rappresenta oggi uno dei principali rischi informatici, è chiaro che questo deve essere, senza ombra di dubbio, inserito nei programmi di formazione aziendale di Cyber Security Awareness. Un’efficace formazione sui rischi che derivano dall’uso di questi strumenti, può garantire che tutti i dipendenti, in particolar modo quelli che utilizzano dispositivi aziendali anche per uso personale, siano istruiti, consapevoli e che ci pensino due volte prima di fare clic o scansionare codici QR.

Per saperne di più sui percorsi formativi di Cyber Guru

Articoli correlati