La nuova sfida della Cyber Security
Sebbene i QR Code non siano una recente invenzione, il loro uso fino ad oggi
è stato molto limitato. La sua storia ha inizio nell’ambito dell’industria
automobilistica in Giappone, ma venne inventato nel 1994.
È molto simile al codice a barre che vediamo apposti sui prodotti al supermercato, ma non ha
bisogno di un lettore particolare, il nostro smartphone può facilmente leggerlo
con una QR scanner app o direttamente dalla fotocamera, se abilitata alla
lettura.
Il codice QR (Quick Response) è un codice a barre a matrice che può essere
letto da un dispositivo di imaging (fotocamera), per poi poter elaborare i dati.
Grazie ai QR code è possibile semplificare un’infinità di attività come
obliterare un biglietto sui i mezzi pubblici, salvare le informazioni di contatto,
aprire URL di siti web senza dover digitale la stringa sulla barra di ricerca,
scansionare un biglietto da visita, effettuare pagamenti in negozi e
supermercati o ancora utilizzare applicazioni da mobile su desktop come
WhatsApp o Telegram Desktop.
La maggior parte degli utenti che utilizza i QR code non è consapevole del
fatto che potrebbero avere delle vulnerabilità a livello di sicurezza. Inoltre, il
basso tasso di utilizzo fino al periodo di emergenza sanitaria, hanno
determinato una quasi totale assenza di informazione e consapevolezza sui
rischi informatici ad essi legati.
Il motivo però non è solo il basso tasso di utilizzo; viene infatti considerato un
rischio a basso impatto.
Ciononostante, dato il loro attuale impiego (anche post pandemia) in tutti i
settori merceologici, sottovalutare il livello di sicurezza dei QR code potrebbe
diventare pericoloso.
Possono essere violati?
Hackerare un codice QR significherebbe manipolare l’azione senza
modificare il codice stesso. Questo però non è possibile.
Quindi, come può danneggiare l’utente? Gli hacker possono utilizzare un
codice QR per vari scopi dannosi e con varie modalità.
Eccone alcuni di seguito:
Qrishing
La violazione più comune è definita come Qrishing: molti annunci web
utilizzano i codici QR che puntano agli URL dei siti, in modo che gli utenti
possano rapidamente effettuare la scansione del codice per visitare il sito.
Proprio in questo passaggio, i truffatori cercano di ingannare l’utente ingenuo.
Considerando l’impossibilità di violarlo, gli hacker cercano di cambiare il
codice QR, applicandone uno falso su quello originale nelle varie affissioni dei
luoghi pubblici, cosicché gli utenti possano raggiungere i siti a cui puntano i
QR code manipolati.
Come fanno gli utenti a cascarci?
Le pagine di phishing sembrano esattamente uguali a quelle dei siti legittimi.
Sui dispositivi mobili, peraltro, è difficile controllare l’indirizzo completo rispetto
al browser da PC, poiché a causa dello spazio limitato, non viene visualizzato
l’indirizzo completo dell’URL in basso a sinistra. La maggior parte delle
persone non controlla mai l’indirizzo completo, cosa che rende l’utente (e le
sue credenziali), sempre più vulnerabili.
Malware tramite Download Attack
I truffatori generalmente utilizzano siti web malevoli per distribuire malware via
drive tramite Download Attack. Al giorno d’oggi, la maggior parte di questi
attacchi vengono realizzati contro gli utenti Android. Si tratta di un download
forzato del software sul dispositivo mentre si visita il sito web. Visitarlo è
sufficiente per attivare l’azione del download. Questi dispositivi infetti poi
possono anche inviare SMS a numeri preferiti della rubrica, così da generare
una pericolosa reazione a catena.
Browser potenzialmente dannosi
Una tipologia di attacco simile alla precedente, ma non ha a che fare con i
malware. A volte alcuni siti web possono nascondere vulnerabilità anche
attraverso il browser da cui vi si accede. Questo può abilitare l’accesso ai
microfoni e alle camere, ai dati del browser o l’invio di e-mail, con l’obiettivo di
generare un attacco DDOS nei confronti di un sito web legittimo.
Manipolare QR code dei siti web aziendali
Il criminale può entrare all’interno del sito web di un’azienda e sostituire il
codice QR con uno malevolo, dato che sarebbe improbabile individuare a
vista d’occhio la modifica del codice. La scansione potrebbe:
- Indirizzare l’utente verso un URL di phishing, richiedere le credenziali per
prendere il controllo dei suoi account personali (posta elettronica o social
media).
- Condurre a un falso app store in cui scaricare app dannose contenenti
virus, spyware, trojan o altri malware
Come proteggersi?
I codici QR malevoli hanno portata limitata, ma possono essere comunque
dannosi. Quindi, è necessario essere preparati e prendere le giuste
precauzioni
- Osservare bene prima di scansionare: se si trova un codice QR in un
qualsiasi banner pubblicitario in un luogo pubblico, bisogna guardarlo da
vicino. La maggior parte delle volte, i truffatori attaccano il loro codice QR
falso su quello legittimo. Bisogna quindi cercare di capire se è reale o
meno toccando il poster accertandosi che non ve ne sia un altro
effettivamente stampato sopra.
- Mai dare informazioni personali o di credenziali di login: essere
sempre sospettosi della pagina in cui si atterra via QR code. Non
condividere mai informazioni personali o dati di accesso, a meno che non
sia molto attendibile. Per accertarsene basterebbe inserire l’URL
manualmente sulla barra di ricerca del browser. Un semplice gesto per
evitare delle brutte sorprese.
- Guardare l’URL prima di procedere: alcune app scanner mostrano
anche l’URL reale prima di procedere e chiedere di confermare se si
desidera visitare l’URL. Questo aiuterà a sapere se il codice QR è
dannoso o meno. Norton Snap è un’ottima soluzione che include alcune
funzionalità di sicurezza integrate.