QRishing, il phishing nascosto nei codici QR

Quando la pandemia ha imposto il distanziamento, i codici QR sono tornati nelle nostre vite. Creati nel 1994, all'inizio del XXI secolo erano ovunque, ma sono stati poi sostituiti da altri sistemi di connessione senza contatto. Tuttavia, nel marzo 2020, le restrizioni dovute al coronavirus hanno riportato in auge quei quadrati bianchi e neri che permettono di connettersi senza contatto.

Un codice QR (dall'inglese "Quick Response" o risposta rapida) è un codice a barre migliorato che include un link a un contenuto ospitato su Internet. Hanno una forma quadrata e possono essere letti dalla maggior parte degli smartphone e dispositivi mobili. Basta puntare la fotocamera sul codice e, con un'applicazione di lettura dei codici QR, o talvolta anche senza di essa, scansionare per accedere alle informazioni.

Dalla pandemia, i QR si sono diffusi per usi come accedere al passaporto Covid-19, scaricare applicazioni sanitarie o consultare i menu dei ristoranti; ma hanno molte altre utilità, come inviare biglietti da visita, condividere profili sui social network come LinkedIn, WhatsApp, Instagram o Twitter, mostrare messaggi promozionali o effettuare pagamenti senza contatto, ad esempio nelle ricevitorie della Lotteria.

In ambito di cybersecurity è risaputo che, inventato lo strumento, arriva l'attacco. I codici QR non fanno eccezione. Nel gennaio 2022, i criminali hanno posizionato falsi codici QR nei parchimetri del Texas e di altre città degli Stati Uniti per rubare i dati di pagamento delle vittime. Questa tecnica di inganno si chiama "QRishing", ossia "phishing" tramite codici QR: scansionando il codice, l'utente viene indirizzato a un sito web falso, dove gli vengono richieste credenziali o informazioni sensibili per utilizzarle a scopi malevoli (commettere altri attacchi, rubare identità, iscrivere la vittima a servizi a pagamento…).
Il phishing continua a reinventarsi, dimostrando di sapersi adattare con successo a qualsiasi canale: email, telefono, SMS e, ora, codici QR.

I cybercriminali sfruttano la fiducia degli utenti, l'uso massivo di questi codici e la difficoltà di distinguere un codice QR legittimo da uno malevolo. Per ingannare le vittime ricorrono a tecniche di ingegneria sociale.

Poiché non tutti i QR portano a destinazioni sicure, questi consigli aiutano a proteggere gli utenti da codici malevoli:

• Disattivare l'opzione di apertura automatica dei link quando si scansiona un codice QR.
• Utilizzare applicazioni di scansione che permettano di vedere a quale URL rimanda il codice prima di aprirlo. In questo modo è possibile verificare l'indirizzo prima di accedere al contenuto o inserire informazioni.
• Non scansionare codici QR di dubbia provenienza: verificare l'identità dell'autore (persona o entità) e confermare che sia chi dichiara di essere. In caso di dubbio, cercare ulteriori informazioni online o verificare la sua identità e obiettivi attraverso altri canali (chiamata telefonica).
• In caso di pagamenti o transazioni finanziarie con QR, controllare che l'operazione si sia svolta come previsto sia per l'acquirente che per il venditore.
• Se il codice QR si trova in un luogo fisico, ad esempio su un espositore di un negozio o stampato su un bicchiere, i truffatori possono attaccare un adesivo sul codice reale: prima di scansionarlo, verificare che non sia stato manipolato e che non vi siano adesivi o altri elementi sovrapposti al codice reale. Se lo si rileva, informare il responsabile del locale.
• Se si gestisce un'attività, controllare periodicamente che i codici QR utilizzati non siano stati falsificati.
• Se il codice QR porta a una pagina che richiede informazioni personali, in particolare password o dati relativi ai pagamenti, fermarsi un momento per valutare se il contesto lo richiede.

Il QRishing non è l'unico pericolo di questi codici, che possono anche compromettere la privacy. Alcuni documenti con informazioni sensibili includono un codice QR; è il caso di certificati o appuntamenti medici, ricevute bancarie, biglietti della lotteria o ingressi per eventi. Il loro scopo è facilitare l'accesso o la verifica delle informazioni. Non si dovrebbe mai condividere questi codici né inviare foto dei documenti a nessuno; vanno mostrati solo se necessario e conservati in modo sicuro.

Prestare attenzione ai dettagli è fondamentale contro il QRishing. Proteggiti e aiuta gli altri avvisandoli dei rischi legati a questi codici, che non tutti conoscono. "Be a cybersecurity key player!