Il QR Code (che significa Quick Response Code, codice a risposta veloce) altro non è che una immagine rappresentata da un quadrato con al suo interno una serie di moduli neri su sfondo bianco che può contenere specifiche informazioni. Ovvero una sorta di codice a barre presente su giornali, manifesti e vetrine che una volta scansionato con uno smartphone, tramite la sua fotocamera, può reindirizzare verso un sito web, un contatto o un’applicazione. La sua diffusione, emersa ancor di più nel corso dell’emergenza pandemica, ha reso il QR code interessante anche per i criminali informatici che hanno dato vita a una nuova tipologia di minaccia informatica detta per l’appunto QRishing (QR + phishing).
Il QRishing
Il QRishing essendo un attacco di phishing attuato per il tramite di codici QR come tale punta sulla curiosità della malcapitata vittima inducendola, inconsapevolmente, ad eseguire programmi arbitrari o visitare siti trappola scansionando dei codici che in realtà nascondono link malevoli e contraffatti (spesso le applicazioni per la lettura dei codici QR non mostrano l’URL della pagina web di destinazione). Inoltre mentre per gli attacchi e-mail esistono già diversi sistemi di sicurezza dedicati, lo stesso non sembra valere per il QRishing, pratica meno conosciuta e investigata, che ha fornito ai criminali informatici un ulteriore strumento per perpetrare i propri inganni.
L’esca come funziona
Il QRishing solitamente si serve di un’esca per far sì che le potenziali vittime scannerizzino il codice malevolo. Ecco alcune modalità di diffusione che sfruttano una minore soglia di attenzione nell’impiego dello smartphone da parte della gente e una consueta convinzione che questo sia un dispositivo più sicuro ed immune a certi tipi di attacchi:
- sovrapporre il QR code con una pellicola trasparente sopra ai codici originali confidando nella percezione che la scansione del codice QR proposto dal locale, dal negozio e in generale dal luogo di fiducia, sia esente da rischi;
- utilizzare un codice malevolo che menziona un marchio reale, simulando una pubblicità, diffuso attraverso un volantino o un depliant;
- usare finti buoni promozione, sfruttando il fatto che gli utenti sono molto più propensi ad aprire i codici QR che offrono sconti.
Il green pass, un piccolo inciso
Nel caso del Green Pass, poiché l’app VerificaC19 è in grado di rendere accessibili e consultabili le informazioni riguardanti la validità del certificato con il nominativo e la data di nascita del titolare, emergono anche altri problemi:
- la comunicazione e diffusione del QR code soprattutto via social network sono assolutamente da evitare per proteggere la propria privacy;
- diffondendo o comunicando i propri dati personali, ci si espone sempre a vari scenari di rischio;
- il QR code contiene anche altre informazioni, per cui evitarne la diffusione è una cautela assolutamente necessaria.
Come proteggersi
Purtroppo, quando un utente viene indirizzato tramite un QR Code malevolo a una pagina di landing potrebbe non essere in grado di riconoscere facilmente il pericolo. La consapevolezza del problema e l’adozione delle tipiche cautele impiegate contro il phishing tradizionale, opportunamente adattate, rimangono i migliori strumenti di difesa per l’utente:
- Osservare il formato dei codici QR. Uno sguardo attento può aiutare a scoprire se è stato incollato sull’originale un QR code fasullo;
- prestare attenzione agli URL abbreviati , espandendoli prima di aprirli;
- dotare anche i propri dispositivi mobili di programmi di sicurezza affidabili.
Si ricordi, infine, che codici QR generati da applicazioni sicure, che svolgono una specifica funzionalità non portano solitamente a siti in cui vengono richieste informazioni personali e sono certamente meno pericolosi di quei codici esposti pubblicamente e che rimandano a siti e link improbabili.
