Introduzione
Il QR Code è pericoloso per smartphone? A quanto pare sì. Questa tecnologia esiste già da qualche anno, tuttavia, è stata riscoperta negli ultimi tempi con l’utilizzo del Green pass. Ma anche per altri usi, come per leggere il menu di un ristorante, convalidare un biglietto, effettuare un acquisto, accedere a WhatsApp web, ottenere informazioni in un museo, accedere a siti istituzionali (come Inps o Agenzia delle entrate) e così via.
Il QR Code è composto da lettere e numeri e viene letto tramite la lente della fotocamera dello smartphone e una apposita applicazione, scaricabile facilmente e gratuitamente su ogni sistema operativo.
Tuttavia, anche il QR Code può essere pericoloso per il nostro smartphone. Vediamo in che modo e come proteggersi.
QR Code cos’è
Come riporta Cybersecurity360, un codice QR (acronimo di Quick Response) è un codice a barre leggibile attraverso uno scanner ma anche, come detto, la fotocamera di uno smartphone.
Come i codici a barre, un QR code rappresenta una codifica visuale di una informazione alfanumerica e hanno una lunghezza variabile. Ciò lo distingue da un codice a barra che invece è composto da soli numeri e ha una lunghezza predeterminata.
La sua lettura rimanda ad una pagina o ad un link che poi andrà cliccato per accedere all’informazione desiderata.
QR Code come funziona
Un codice QR può rimandare ad un indirizzo web, ad un contatto telefonico, ad un testo e a quant’altro è traducibile dal telefono.
Non tutte le informazioni vengono lette in automatico dallo smartphone. Alcune informazioni, infatti, vengono interpretate solo se esiste una app connessa alla specifica URI. L’esempio più immediato è quello del Green pass ma anche i concerti, per esempio.
Con un Codice QR può essere anche effettuato un pagamento. I negozi – fisici o online – possono visualizzare un codice QR che può essere scansionato con molte app bancarie per pagare.
Perché QR Code pericoloso per smartphone
Fatta una breve presentazione di questa tecnologia, vediamo perché può essere pericolosa per i nostri tanto amati device mobili. Si parla infatti di QR Code malevoli.
Si chiamano così perché, potenzialmente, contengono informazioni false o URL di siti web di phishing o un watering hole attack.
Lo schema generale di attacco è quello del drive-by-download. Nel quale, tramite un tag o un poster opportunamente modificato, l’utente viene guidato a un sito compromesso o fasullo.
IL pericolo può arrivare anche in modo involontario rispetto a chi ce lo chiede. Si pensi al sito di un ristorante o di un Hotel non particolarmente curato rispetto alla cybersicurezza e che quindi contiene malware o virus senza che neanche i proprietari lo sappiano.
Anche i siti istituzionali possono essere preda di attacchi-hacker. Quindi anche entrare sul sito dell’Inps o dell’Agenzia delle entrate con l’Identità digitale, o scannerizzare il Green pass, potrebbe comportare un pericolo.
Il sito in questione rimane in attesa che una specifica versione vulnerabile di iOS/Android si connetta dopo aver scansionato un codice QR.
Un hacker potrebbe anche creare dei QR code fasulli e sovrapporli tramite adesivi ai QR code originali in ristoranti, poster e altri cartelloni sparsi per la città.
Come difendersi?
Ecco alcuni suggerimenti legati soprattutto al buon senso:
- La difesa principale resta quella di non scansionare tutto ciò che ci circonda, come volantini distribuiti per strada o manifesti attaccati sui muri, Cerchiamo di usare il QR Code per o stretto necessario e quando ci viene richiesto e non ne possiamo fare a meno.
- Altro suggerimento è quello di avere un buon antivirus sullo smartphone, oltre che filtri per la navigazione impostati sul browser. Certo, quest’ultimo suggerimento vale fino ad un certo punto, poiché un antivirus funziona tramite blacklist o euristiche (per es., un URL di un sito di phishing contiene un nome di un brand). n altri casi addirittura le difese non sono proprio possibili. Se un codice QR che contiene un numero di telefono o un contatto, se questo numero venisse sostituito con uno fasullo per un attacco di vishing, non ci sarebbe la possibilità di accorgersene. Sebbene Cybersecurity360 suggerisca una app per questo scopo: TrueCaller.
- Stiamo anche molto attenti ai pagamenti, cerchiamo di usare il QR Code solo su siti e negozi sicuri.
Conclusioni
Purtroppo, quando una tecnologia inizia a diventare di massa, subito c’è chi è pronto ad approfittarne per diffondere truffe o possibilità di entrare in possesso di dati sensibili. E il QR Code non fa eccezione.
Stiamo dunque attenti e, affidiamoci anche alla fortuna, perché come visto, a volte anche le difese non bastano.
