Questi riquadri molto familiari che si vedono ormai un po’ dappertutto – negli annunci pubblicitari, nelle riviste e nei poster – si stanno rivelando il modo più facile ed economico di collegare il mondo reale con quello virtuale. Tutto quello che bisogna fare è inquadrare un codice QR con la fotocamera del proprio smartphone e sarà possibile collegarsi a una pagina web mediante un link, salvare un numero di telefono tra i contatti o scaricare un’applicazione. Gli specialisti del marketing amano questa tecnologia per la sua grande semplicità, ma non sono gli unici: i codici QR piacciono molto anche ai cyber-criminali. Si consiglia quindi di fare molta attenzione quando si punta l’obiettivo della fotocamera del telefono su di un codice QR.
Un codice QR (abbreviazione dell’inglese quick response) può contenere qualsiasi tipo di informazione: link, informazioni di testo o risorse on-line. I codici QR hanno guadagnato molta popolarità in Asia e ora stanno diventando famosi anche in Europa e nel continente americano. Sono ovunque: nei cartelloni pubblicitari, nella merce esibita nei centri commerciali, nei siti web, in vari tipi di biglietti e coupon, ecc. – e la lista può andare avanti ancora molto. Tuttavia, allo stesso tempo, anche le truffe via codice QR stanno acquistando popolarità. Ci sono sempre più casi di codici QR nocivi che vengono fatti passare per codici autentici. Questa pratica, che condivide alcune caratteristiche con il phishing, è diventata nota con il nome di QRishing.
Non è dunque difficile immaginare i pericoli che si nascondono dietro un codice QR collocato in un luogo pubblico: nella metro, in un aeroporto, in una stazione ferroviaria, in una banca o nello sportello di un bancomat. La gente in genere si fida della pubblicità e non si immaginerebbe mai che una minaccia informatica si possa nascondere dietro uno di questi codici presenti sulla parete di una banca importante.
Quando un utente scatta una foto ad un codice QR, il link immagazzinato viene prima di tutto visualizzato sullo schermo del dispositivo mobile. Tuttavia, i cyber-criminali usano anche dei sistemi di accorciamento dell’URL (come bit.ly e molti altri). Questo permette loro di camuffare l’indirizzo finale del codice QR, indirizzo che può portare ad una pagina contenente un malware, capace a sua volta di rubare le credenziali dell’utente o condurlo ad un sito phishing. La situazione si complica ulteriormente quando si tratta di un browser per smartphone perché i browser mobile non sono sempre in grado di visualizzare l’URL completo della pagina che sta aprendo – il che rappresenta un handicap quando si cerca di smascherare una frode. Infine, per rendere il tutto ancora più difficile, la maggior parte dei dispositivi mobile non possiedono una soluzione antivirus che li protegga dai malware.
Dunque, per prevenire questo tipo di minacce, vi consigliamo di seguire tre semplici istruzioni:
- Fate attenzione prima di scattare la foto. Prima di inquadrare un codice QR con la fotocamera, assicuratevi che questi non stia coprendo un altro codice. In caso di dubbio, non lo fotografate.
- Dopo aver aperto un app store o una pagina web con il browser, assicuratevi che il codice QR vi abbia portato alla pagina giusta – quella che vi aspettavate che venisse visualizzata. Se state per installare un’applicazione, assicuratevi che sia stata sviluppata dall’azienda che compare nella pubblicità o nelle informazioni relative al prodotto. Controllate cosa si dice sul prodotto – l’opinione e il feedback degli utenti; se i commenti sono pochi o quasi non ce ne sono, è meglio posticipare l’installazione. Se un codice porta a un sito web, controllate sempre l’URL completa: potreste cadere vittime di una frode phishing. È sempre consigliabile, infine, prestare la massima attenzione quando si inseriscono i propri dati personali o le proprie credenziali, incluso e-mail e dati bancari.
- Se è possibile installare sul vostro smartphone un’applicazione di sicurezza in grado di rilevare se un sito è pericoloso o se il software scaricato possiede un malware, si consiglia di installarla il prima possibile. Questo è particolarmente consigliato per smartphone con sistema operativo Android, uno dei principali bersagli dei programmi malware.