Sono ovunque intorno a noi, nelle vetrine dei negozi, nei menù dei ristoranti e nelle reception degli alberghi, alle poste, in banca e perfino in aeroporto. La pandemia ci ha educati a puntarci contro la videocamera e a cliccare senza pensarci troppo, con la promessa di accesso a un mondo sconfinato di informazioni digitali tutte a portata di smartphone. Ma adesso anche l’ormai familiare mosaico dei Quick Response Code (i codici a barre bidimensionali che conosciamo semplicemente come QR Code) rischia di trasformarsi in un nuovo, pericoloso cavallo di Troia delle minacce informatiche.
La truffa dell'hacker. «Pronto, è la banca» ma gli svuotano il conto: portati via 10mila euro
È quanto emerge da una ricerca dell’azienda di sicurezza Check Point Software, che ha registrato un aumento del 587% di truffe relative alla scansione di questi codici. Secondo Jeremy Fuchs, ricercatore e analista di sicurezza per Check Point Software, gli hacker realizzano falsi QR Code che, una volta puntati con la fotocamera dello smartphone, rimandano a siti fasulli creati con l’unico scopo di carpire le nostre credenziali.
I CONSUMATORI
È un problema serio perché nel 2022 solo negli Stati Uniti 89 milioni di persone hanno puntato e cliccato almeno una volta su un Qr Code, un aumento del 26% rispetto al 2020.
LA NOVITÀ
Stesso principio ma diversa metodologia per il Quishing, la cui maggiore novità sta nel fatto che, trattandosi di immagini, non vengono rilevate come minacce dai programmi antivirus. La sua popolarità è aiutata anche dal fatto che oggi chiunque può creare facilmente un codice QR usando siti o software appositi. Al suo interno si può inserire di tutto, compresi link che rimandano a malware che, una volta installati sul nostro dispositivo, possono facilmente estrarne i dati.
LA PROVENIENZA
I QR Code contraffatti solitamente arrivano tramite mail, accompagnati da un testo con finte istruzioni per accedere ai propri account. Ma possono anche trovarsi per strada, sovrapposti con uno sticker a codici autentici. Puntando il device e compilando le schede richieste dal sito fasullo (tra cui appunto nome utente e password, ma anche informazioni anagrafiche, dettagli di carta di credito e conti bancari) i nostri dati entreranno subito in possesso dei malintenzionati. Che a quel punto potranno scegliere se rivenderli o (più raramente nel caso dei privati, più spesso nel caso delle pmi) trattenerli per chiedere un riscatto.
Come difendersi? Partiamo dal presupposto che la figura dell’hacker solitario che da uno scantinato riesce a intrufolarsi nei nostri dispositivi, per quanto cinematografico possa essere il suo appeal, è un avvistamento sempre più raro nel mondo della cybersecurity. Dove oggi non solo si preferisce lavorare in gruppo ma dove il modo più semplice per ottenere l’accesso a un device è tendere una trappola credibile e aspettare che sia il malcapitato di turno a fare tutto da solo. Le regole di ingaggio quindi sono le stesse del phishing. Se un QR Code arriva da uno sconosciuto, evitiamo di scansionarlo. Controlliamo attentamente il mittente, così come il link in allegato: prima di cliccarlo, meglio copiarlo nella barra del browser. Il nome del dominio (cioè la dicitura che compare dopo il canonico www) dovrà corrispondere al marchio o al nome dell’azienda che promuove il codice QR, altrimenti si tratta quasi sicuramente di un falso.
ERRORI
Occhio anche ai numerosi errori grammaticali che spesso tempestano questo tipo di messaggi. Imprese e aziende possono optare per controlli di sicurezza aggiuntivi come migliori filtri antispam, firewall per la posta elettronica e software specifici in grado di identificare il codice QR e testare l’indirizzo web contenuto al suo interno, il tutto mantenendo la macchina al sicuro. Fuori dalle mail, fondamentale è il luogo dove abbiamo trovato il codice QR. È all’interno di un locale famoso o in un angolo di strada sperduto? Su che materiale è stampato? Per ingannare le vittime, i truffatori adesso attaccano immagini fasulle sopra codici QR legittimi. Prima di eseguire la scansione quindi può essere utile ispezionare la superficie per capire se è stata manomessa o se è ricoperta da un adesivo.