Sono innumerevoli i casi di utenti che hanno ricevuto e-mail apparentemente inviate da grandi società del Web (ad esempio, Microsoft o il servizio cloud Office 365) e contenenti codici QR. Il corpo di queste e-mail contiene un invito ad agire, cioè a scansionare il codice QR per mantenere l’accesso al proprio account. In questo post vediamo come comportarsi se si riceve questo tipo di messaggi.
Scansiona il codice QR o affronta l’inevitabile
In genere, questo tipo di e-mail contiene una notifica che segnala che la password dell’account sta per scadere e che si rischia di perdere l’accesso alla propria casella di posta. È quindi necessario modificare la password eseguendo la scansione del codice QR contenuto nell’e-mail e seguendo ulteriori istruzioni.
Un’altra e-mail potrebbe ad esempio avvisare il destinatario che la sua “sessione di autenticazione è scaduta oggi”. Per rimediare, il messaggio suggerisce di “eseguire la scansione del codice QR sottostante con lo smartphone per autenticare nuovamente la password di protezione”. In caso contrario, potrebbe risultare impossibile accedere alla casella di posta.
Un altro esempio: il messaggio informa gentilmente che: “questa e-mail proviene da una fonte attendibile”. Abbiamo già parlato del motivo per cui le e-mail contrassegnate come “verificate” dovrebbero essere trattate con cautela. Per mettere sotto pressione il destinatario, viene specificato che “Tre e-mail importanti” non possono essere consegnate a causa della mancanza di qualche tipo di convalida. Naturalmente, la scansione del codice QR fornito risolverà il problema.
Gli autori di queste e-mail vogliono chiaramente intimidire gli utenti inesperti con parole altisonanti.
Probabilmente sperano anche che il destinatario abbia sentito parlare delle app di autenticazione, che in effetti utilizzano i codici QR, in modo che la loro semplice menzione sia sufficiente a suscitare vaghe associazioni.
Cosa succede se si scansiona il codice QR nell’e-mail
Il collegamento presente nel codice QR conduce a una replica piuttosto convincente di una pagina di accesso Microsoft.
Naturalmente, tutte le credenziali inserite nelle pagine di phishing finiranno nelle mani di criminali informatici. E questo metterà a rischio gli account degli utenti che cadono nel tranello.
Un dettaglio interessante è che alcuni collegamenti di phishing nei codici QR conducono a risorse IPFS. IPFS (InterPlanetary File System) è un protocollo di comunicazione per la condivisione di file che ha molto in comune con i torrent. Consente di pubblicare qualsiasi file su Internet senza la registrazione di domini, l’utilizzo di servizi di hosting o altre complicazioni.
In altre parole, la pagina di phishing si trova direttamente nel computer del criminale informatico ed è accessibile tramite un collegamento attraverso uno speciale gateway IPFS. I criminali informatici utilizzano il protocollo IPFS perché rende molto più semplice pubblicare una pagina (e molto più difficile rimuovere una pagina di phishing rispetto al blocco di un “normale” sito Web dannoso). Questo fa sì che i collegamenti abbiano una durata maggiore.
Come proteggersi dai codici QR di phishing
Nessun sistema di autenticazione legittimo suggerisce mai la scansione di un codice QR come unica opzione. Pertanto, se ricevi un’e-mail che ti chiede di confermare qualcosa o di accedere nuovamente al tuo account, oppure di reimpostare la password o di eseguire altre operazioni simili, e se per farlo hai a disposizione solo un codice QR, probabilmente hai a che fare con un tentativo di phishing. Puoi tranquillamente ignorare ed eliminare l’e-mail.
Quando invece è necessario eseguire la scansione di un codice QR proveniente da una fonte sconosciuta, ti consigliamo la nostra soluzione di sicurezza con la sua funzione di scansione sicura dei codici QR. Verrà verificato il contenuto dei codici QR e sarà visualizzata una notifica in qualora risultino dannosi.