Il codice QR si è diffuso negli ultimi due anni, il che lo rende anche un campo vulnerabile per commettere reati.
Attualmente vengono utilizzati in vari settori e in modi diversi, ad esempio per visualizzare il menu del cibo di un ristorante, mezzi di pagamento, richiedere servizi e condividere un contatto, tra gli altri.
Tuttavia, come spesso accade con qualsiasi tecnologia che diventa popolare, ha anche attirato l’attenzione dei criminali informatici che la utilizzano per scopi dannosi. ESET, azienda leader nel rilevamento proattivo delle minacce, avverte come i codici QR possano essere sfruttati dai truffatori per ingannare le loro vittime.
Che cos’è un codice QR? Un codice QR non è altro che un codice a barre bidimensionale che ha la capacità di memorizzare fino a 7.089 cifre o 4.296 caratteri.
Può essere scansionato con un lettore di codici QR, integrato nelle fotocamere predefinite della maggior parte dei dispositivi mobili, per decrittografare i dati in esso codificati.
È fondamentalmente una stringa di testo e di solito è un URL o un collegamento a un sito Web o all’account ufficiale di un commerciante in un sistema di pagamento.
Tuttavia, questa popolarità ha anche reso il codice QR un terreno fertile per i criminali informatici per rendere più piccante il loro kit di malware per rubare non solo informazioni personali, ma anche risorse impossibili da recuperare una volta perse.
5 truffe che utilizzano i QR code
In effetti, le minacce legate a questo tipo di prodotti sono diventate frequenti e astute, anche l’FBI ne ha diramato un avviso.
1. Reindirizzare l’utente a un sito Web dannoso per rubare informazioni. Un esempio di truffa con codice QR su base fisica è quando attori malintenzionati stampano adesivi con codice QR e li posizionano fisicamente sopra la cosa reale.
Le persone generalmente presumono che i cartelli o gli striscioni con questi codici a barre siano al sicuro nei negozi o negli spazi pubblici e quindi potrebbero non essere consapevoli del fatto che attori malintenzionati potrebbero sostituire quelli falsi con meccanismi legittimi.
Recentemente negli Stati Uniti, i criminali hanno posizionato adesivi con codici QR falsi sui parchimetri pubblici situati in diverse città che hanno portato potenziali vittime su un sito falso per effettuare il pagamento con l’obiettivo di rubare dati finanziari.
2. Download di un file dannoso sul computer della vittima: molti bar e ristoranti utilizzano codici QR per consentire all’utente di scaricare un file PDF con il menu o installare un’applicazione per effettuare l’ordine. In questo e in contesti simili, un utente malintenzionato potrebbe facilmente manomettere il codice QR per invogliare l’utente a scaricare un PDF dannoso o installare un’applicazione canaglia.
3. Esegui azioni sul dispositivo della vittima: i codici QR possono generare azioni direttamente sul dispositivo di lettura, queste azioni dipenderanno dall’applicazione che le sta leggendo, quindi fai attenzione alle app di lettura QR false. Tuttavia, ci sono alcune azioni di base che qualsiasi lettore QR è in grado di interpretare.
Ad esempio, connetti il dispositivo a una rete Wi-Fi, invia un’email o un SMS con un testo predefinito o salva un contatto sul dispositivo. Sebbene queste azioni di per sé non siano dannose, potrebbero essere utilizzate da un utente malintenzionato per connettere un computer a una rete compromessa, inviare messaggi per conto della vittima o pianificare un contatto per un successivo inganno.
4. Deviare un pagamento o effettuare richieste di denaro: la maggior parte delle attuali applicazioni finanziarie digitali consente di effettuare pagamenti tramite codici QR che contengono i dati del destinatario del denaro.
Molti negozi lasciano questi codici davanti ai propri clienti per facilitare l’operazione. Un utente malintenzionato potrebbe modificare questo QR con i propri dati e ricevere così gli addebiti nel proprio account. Potrebbe anche generare codici con richieste di raccolta di denaro per ingannare gli acquirenti, come è successo ad alcuni utenti che hanno riferito di essere stati truffati inviando un codice QR falso per effettuare un pagamento.
5. Rubare l’identità dell’utente o accedere a un’applicazione: molti codici QR vengono utilizzati come certificati per verificare le informazioni su una persona, come documenti di identità o tessere sanitarie. In questi casi, i codici QR contengono informazioni sensibili come quelle che si trovano in un documento di identità o in una cartella clinica, che un aggressore potrebbe facilmente ottenere scansionando il codice QR.
Consigli si come evitare truffe con QR code
Sebbene gli schemi di cui sopra siano preoccupanti, gli utenti possono tenere a bada le truffe dei codici QR seguendo le buone pratiche.
Gli esperti raccomandano di assicurarsi che il sito Web collegato sia legittimo prima di fornire informazioni personali. Un trucco può essere quello di verificare se ci sono errori di ortografia nell’URL stesso.
Nel caso in cui effettui una transazione locale da un commerciante o fornitore di servizi, gli esperti di sicurezza informatica ti esortano anche ad assicurarti che il codice QR non sia incollato su uno originale.
