Il QR code nel mirino degli attacchi informatici

Consultare il menu di un ristorante, aprire file multimediali (foto, video), prenotare visite mediche; al giorno d’oggi sono tantissimi gli utenti che ricorrono ai codici QR per i motivi più disparati. Senza contare la sua applicazione più attuale e dibattuta: il Green Pass. Ma quali sono i rischi?

Mostrami il tuo codice QR e ti dirò chi sei

Da quando sono entrati in vigore, i codici QR (in inglese QR Code) hanno conquistato la quotidianità di tutti. Agile, intuibile, sempre a portata di mano (basta avere uno smartphone), oggi la tecnologia QR sembra un po’ come il prezzemolo: sta bene su tutto. Le sue applicazioni sono infinite: dai tavolini di un bar e dei ristoranti alle pagine delle riviste, fino ai cartelloni pubblicitari e al tanto discusso Green Pass (ebbene sì, il Green Pass non è altro che un QR Code che contiene i dati personali e relativi alla vaccinazione ricevuta).

Tuttavia si sa che insieme a ogni nuova tecnologia c’è sempre anche un rischio connesso. Nel caso del QR Code, che spesso si fa custode di dati sensibili, non è difficile immaginare che la sua diffusione ha aperto le porte a nuovi rischi insiti alla sua stessa natura tecnologica. È il rischio, oggi più diffuso che mai, che sia vittima di un attacco informatico (Cyber Risk).

Che cos’è il QR Code 

Stando alla sua definizione enciclopedica, un QR Code (letteralmente: codice QR, dove “QR” sta per “Quick Response”, “risposta rapida”) è un codice a barre bidimensionale (2D) composto da diversi moduli neri, disposti in modo particolare all’interno di uno schema bianco di forma quadrata, utile a memorizzare informazioni e dati (anche sensibili) che possono in questo modo essere lette attraverso l’impiego di un apposito lettore ottico – o, molto più semplicemente, di uno smartphone.

Qualche curiosità: un solo crittogramma (che essenzialmente vuol dire in un solo QR Code) può contenere fino a 7.089 caratteri numerici o 4.296 alfanumerici. Il formato di un codice QR è di 29×29 quadratini e contiene 48 alfanumerici. Quando è nato? Il codice QR fu sviluppato per la prima volta nel 1994 dalla compagnia giapponese Denso Wave, con uno scopo ben preciso: tracciare i pezzi di automobili nelle fabbriche di Toyota!

Non è tutto oro quel che luccica: i rischi connessi al codice QR

Anche se non si può dire che abbia attecchito subito in tutti i mercati, soprattutto in Europa e negli Stati Uniti, dalla fine degli anni 2000 il QR Code è una realtà che non si può più ignorare. La diffusione degli smartphone ha accelerato un fenomeno di per sé inevitabile: la digitalizzazione di tutte le informazioni (se non di tutto lo scibile umano), che con sé ha portato anche il codice QR.

Al giorno d’oggi, proprio come sta accadendo con il riconoscimento facciale, la tecnologia del QR Code è utilizzata in qualsiasi ambito: nei menu dei ristoranti, che stanno pian piano scomparendo nel loro tradizionale formato cartaceo, a favore invece di uno smartphone in attesa su tutti i tavoli; o nei biglietti da visita, che rimandano ai social media o alle pagine web di aziende e professionisti. Con la diffusione su larga scala mediante i dispositivi mobili, però, sono apparsi anche ostacoli e rischi. È stata Federprivacy, nel 2014, la prima a notare che i codici QR possono farsi facilmente veicolo di scopi dannosi, virus, istruzioni malevole, fino a essere utilizzati dai pirati informatici e dai Cyber-criminali per attivare altre azioni indesiderate.

Il QR Code e gli attacchi informatici 

Stando a quanto riportano molti esperti, il QR Code rischia di diventare un nuovo mezzo d’attacco a disposizione dei cyber criminali.

Massimo Grandesso, Cybersecurity Manager di Innovery, ha spiegato che “i QR Code inviati via email riescono ad eludere i normali sistemi di antiphishing: il Qishing, così si chiama questa tecnica, funziona esattamente come cliccare su un link, solo che il link non è visibile in quanto codificato nel QR code, e si dovrebbero utilizzare le stesse cautele che si usano per i link”.

Questo significa che, attraverso la semplice scansione di codice QR, l’utente potrebbe essere automaticamente reindirizzato verso URL di phishing, dove il cyber criminale sarà in grado di

  • accedere e “rubare” alcuni dati di accesso importantissimi, come per esempio quello della posta elettronica o altre credenziali private;
  • reindirizzare l’utente in un App Store illegittimo e costringerlo inconsapevolmente a scaricare App dannose con virus, trojan o altri tipi di malware (con conseguente violazione della privacy).

Come per il caso delle mail phishing, anche di fronte a questa nuova tipologia di attacchi, non ad alta complessità, la soluzione più semplice e immediata è quella di intervenire sul fattore umano per mitigare i rischi, sensibilizzando i dipendenti e in generali i cittadini attraverso corsi di formazione e campagne di comunicazione su nuove tecniche di attacco a cui possiamo andare in contro”, continua Grandesso.

 

QR Code e sicurezza informatica: alcuni consigli

Per mitigare il rischio di diventare vittime di attacchi informatici attraverso la scansione di un codice QR, in fin dei conti, basterebbe fare un po’ più di attenzione.

Alcuni consigli:

  • Non condividere il codice QR con i propri dati personali, almeno se non è strettamente necessario;
  • Non aprire automaticamente una pagina web attraverso il QR Code, ma accertarsi prima di tutto dell’URL a cui si verrà reindirizzati;
  • Accertarsi che il codice QR provenga da una fonte accreditata;
  • Scaricare App qualificate per la scansione di qualsiasi codice;
  • Non scansionare MAI un codice QR dai Social media o dai link ricevuti via mail, soprattutto quando sono inaspettati.

La morale è ancora quella: la tecnologia digitale è sicuramente molto utile, ma solo se si impara ad utilizzarla con la testa.