Che cos'è un codice QR?
Un codice QR (Quick Response) è un codice a barre bidimensionale. Rimanda a una pagina web o a un altro contenuto, solitamente ottimizzato per l'accesso da dispositivi mobili e tablet. Il codice QR è costituito da moduli generalmente neri disposti in un quadrato su sfondo bianco.
È stato inventato nel 1994 da Denso Wave, un'azienda giapponese che in passato lavorava per Toyota. Si trova su volantini, biglietti da visita, manifesti o riviste e, soprattutto dall'inizio della pandemia, sui tavoli di bar e ristoranti. Il suo utilizzo consente di accedere a informazioni aggiuntive, contenuti audio o video, partecipare a un concorso a premi o persino effettuare un acquisto dal proprio smartphone.
Da alcuni anni, il codice QR può essere personalizzato, consentendo così ai marchi di mettersi in evidenza o di integrare il codice QR nella propria identità visiva.
Il codice QR, una minaccia informatica molto diffusa.
Onnipresenti nella nostra vita, gli utenti non sono pienamente consapevoli dei rischi legati all'uso dei codici QR. Gli hacker sfruttano questa tecnologia condividendo un URL dannoso che rimanda a un sito di phishing. Possono anche diffondere malware o raccogliere dati personali.
Questi comportamenti dannosi possono innescare diverse azioni:
- Aggiungere un elenco di contatti e utilizzarlo per lanciare campagne di phishing
- Effettuare chiamate verso servizi a pagamento
- Inviare SMS a persone con una cattiva reputazione o ricercate dalle forze dell'ordine
- Scrivere e-mail
- Effettuare pagamenti
- Accedere ai propri conti bancari
- ecc.
La difficoltà sta nel fatto che non si sa dove porterà questo codice prima di averlo analizzato.
Un attacco di questo tipo riguarda anche le organizzazioni. Ad esempio: quando un dipendente scansiona un codice QR al ristorante nel tempo libero, può cadere vittima di un phishing. Questo non avrà ripercussioni solo su di lui a livello personale, ma potrebbe anche compromettere l'infrastruttura della sua organizzazione.
In uno studio condotto da MobileIron, “il 71% degli intervistati non è in grado di distinguere un codice QR legittimo da uno dannoso, mentre il 67% afferma di saper distinguere un URL legittimo da uno dannoso.” (fonte: informatiquesnews.fr).
Semplice e veloce, questa nuova minaccia rappresenta una vera manna dal cielo per i criminali informatici. I dati mostrano infatti una mancanza di sensibilizzazione degli utenti e l'urgenza di porvi rimedio.
Come proteggersi?
L'80% degli utenti possiede uno smartphone e quasi tutti sono in grado di leggere i codici QR in modo nativo, cioè senza bisogno di un'applicazione di terze parti.
A tal fine, ecco alcuni consigli:
- Prestate attenzione prima di scansionare un codice QR apposto sul tavolo di un bar o di un ristorante. Prima di scansionarlo, assicuratevi che si tratti effettivamente di quello del locale e non di una trappola tesa da un cybercriminale.
- Controlla l'URL indicato nella notifica prima di cliccarci sopra per essere reindirizzato. Se l'URL ti sembra diverso o non proviene da una fonte affidabile, chiudi immediatamente la notifica.
- Per le le organizzazioni che forniscono telefoni cellulari ai propri dipendenti: impedire l’installazione automatica delle applicazioni.
- Preferite l'autenticazione a più fattori per accedere alle applicazioni aziendali, oppure optate per il cloud.
- Installa una soluzione di protezione contro le minacce mobili.
In realtà, per proteggersi da questa minaccia sempre più frequente, la parola d'ordine è la vigilanza.
