Codici QR: comodi o pericolosi?

Vi spieghiamo come evitare di essere truffati dai codici QR.

I codici QR ormai si trovano ovunque: sui vasetti di yogurt, alle mostre nei musei, sulle bollette o sui biglietti della lotteria. Li usiamo per aprire siti web, scaricare applicazioni, raccogliere punti per programmi fedeltà, effettuare pagamenti o fare un bonifico e anche per mandare denaro in beneficenza. Questa tecnologia, accessibile e pratica, è una comodità per molte persone tra cui, come sempre, i criminali informatici, che hanno già architettato una serie di truffe che sfruttano i codici QR. Ecco cosa potrebbe andare storto con questi onnipresenti quadratini bianchi e neri e come potete usarli senza timore.

Cosa sono i codici QR e come si usano

Al giorno d’oggi, quasi tutti possiedono uno smartphone. Molti degli ultimi modelli hanno uno scanner QR integrato, ma chiunque può scaricare un’app che legge tutti i codici QR o scaricare un’app specifica per un determinato servizio, ad esempio quella di un museo.

Per scansionare un codice QR, l’utente deve semplicemente aprire l’applicazione preposta e puntare la fotocamera del telefono verso il codice. La maggior parte delle volte, lo smartphone vi reindirizzerà su un certo sito web o vi chiederà di scaricare un’applicazione. Ma ci sono anche altre opzioni, di cui parleremo tra un po’.

Gli scanner specifici utilizzano una certa serie di codici QR. Ad esempio, potreste trovare un codice su un cartello che riguarda un albero storicamente importante di un parco, nel qual caso la scansione con l’app ufficiale del parco potrebbe avviare una visita guidata, mentre uno scanner standard aprirebbe semplicemente una descrizione sul sito web del parco.

Inoltre, alcune app possono creare codici QR per offrire certe informazioni a chiunque li scansioni. Per esempio, per dare il nome e la password della rete Wi-Fi ospite o i dettagli del conto bancario.

In che modo i cybercriminali utilizzano i codici QR?

I codici QR sono solo una versione più avanzata dei codici a barre, quindi cosa potrebbe andare storto? Molte cose, a quanto pare. Gli esseri umani non possono semplicemente leggere i codici QR o controllare in anticipo dove li porterà la scansione, quindi come utenti ci affidiamo alla rispettabilità di chi li ha creati. Inoltre, non possiamo sapere tutto ciò che include un codice QR, anche quando ne creiamo uno nostro. È un sistema che può essere sfruttato in molti modi.

Link falsi

Un codice QR creato dai criminali informatici potrebbe portare a un sito di phishing che assomiglia alla pagina di login di un social network o di una banca online. Ecco perché raccomandiamo di controllare sempre i link prima di cliccare. Un codice QR, tuttavia, non rende così facile questa operazione. Inoltre, i cybercriminali spesso usano link accorciati, rendendo più difficile individuarne uno falso quando lo smartphone chiede conferma.

Con dei trucchi simili si possono ingannare gli utenti affinché scarichino un’altra app e, come risultato, si troveranno a scaricare un malware invece del gioco o del tool previsto. A questo punto, le opzioni sono infinite: il malware può rubare le password, inviare messaggi dannosi ai contatti e altro ancora.

Codice QR con comandi integrati

Oltre al collegamento a un sito web, un codice QR può contenere un comando per eseguire determinate azioni. Anche in questo caso, le possibilità sono diverse e quello che segue è solo un assaggio. I codici QR potrebbero:

  • Aggiungere un contatto;
  • Effettuare una chiamata;
  • Scrivere un’e-mail e indicare destinatario e oggetto;
  • Inviare un messaggio di testo;
  • Condividere la propria posizione con un’app;
  • Creare un account sui social network;
  • Programmare un evento del calendario;
  • Aggiungere una rete Wi-Fi preferita con le credenziali per la connessione automatica.

Il filo conduttore è automatizzare azioni comuni. Per esempio, scansionando un codice QR si possono aggiungere i dettagli del contatto da un biglietto da visita, pagare il parcheggio o concedere l’accesso a una rete Wi-Fi ospite.

Queste ampie possibilità rendono i codici QR adatti alla manipolazione. Per esempio, i truffatori possono aggiungere le proprie informazioni di contatto alla vostra rubrica con  il nome “Banca” per dare credibilità a una chiamata che tenta di truffarvi, oppure grazie al codice QR chiamerete un numero a pagamento a vostre spese o un cybercriminale potrà scoprire dove vi trovate.

In che modo i cybercriminali camuffano i codici QR?

Affinché i criminali informatici vi danneggino usando un codice QR, devono prima convincervi a scansionarlo. Per farlo, hanno un paio di assi nella manica.

Fonti dannose. I criminali informatici possono inserire un codice QR dannoso in un banner, in un’e-mail o anche in una pubblicità cartacea. Lo scopo è in genere quello di indurre la vittima a scaricare un’app dannosa. In molti casi, i loghi di Google Play e App Store sono posti accanto al codice per una maggiore credibilità.

Sostituzione. Non è insolito per i cybercriminali sfruttare il lavoro e la reputazione di soggetti legittimi, sostituendo un vero codice QR con uno falso.su un poster o un cartello.

Tra l’altro, la malizia del codice QR non è limitata ai criminali informatici; alcuni attivisti sociali senza scrupoli hanno iniziato a ricorrere alla sostituzione del codice QR per diffondere le loro idee. In Australia, per esempio, un uomo è stato recentemente arrestato per aver presumibilmente manomesso i codici QR sui cartelli per la registrazione ai centri COVID-19 in modo che portassero i visitatori a un sito web contro le vaccinazioni.

Ed ecco che le possibilità sono praticamente infinite. I codici QR si trovano spesso su bollette, opuscoli, sui cartelli di indicazione degli uffici e quasi ovunque ci si possa aspettare di trovare informazioni o istruzioni.

Come evitare problemi con i codici QR

Per sicurezza, seguite alcune semplici istruzioni per l’uso dei codici QR:

  • Non scansionate i codici QR da fonti palesemente sospette;
  • Prestate attenzione ai link visualizzati durante la scansione del codice. Siate particolarmente prudenti se l’URL è stato accorciato, perché con i codici QR non c’è alcuna ragione convincente per farlo. Utilizzate, invece, un motore di ricerca o uno store ufficiale per trovare ciò che state cercando;
  • Fate un rapido controllo fisico prima di scansionare un codice QR su un poster o un cartello per assicurarvi che il codice non sia stato incollato sull’immagine originale;
  • Utilizzate un programma come QR Scanner di Kaspersky (disponibile per Android e iOS) che analizza i codici QR alla ricerca di contenuti dannosi.

Ricordate anche che i codici QR possono contenere informazioni preziose, come avviene nei biglietti elettronici, quindi non dovreste mai pubblicare sui social network alcun tipo di documento che contenga un codice QR.

Consigli