Quadrati di puntini bianchi e neri da scansionare con lo smartphone per poter accedere a un sito web o a informazioni nascoste. I codici a risposta rapida, o QR Code, sono stati inventati da un team di Denso Wave, una consociata di Toyota, nel 1994 e da allora vengono utilizzati in tantissimi settori diversi, sostituendo spesso le strisce dei codici a barre.
Dalle confezioni di cibo e bevande alle fermate dei bus, i cartelloni pubblicitari: questi codici sono ovunque e basta scansionarli per accedere alle informazioni che portano. Anche le app come Facebook o LinkedIn creano dei QR Code personali da associare al proprio profilo e per le più svariate azioni.
Una tecnologia basata su un sistema contactless veloce e semplice che soprattutto durante la pandemia da Covid-19 si è rivelata utile e ha preso sempre più piede. I ristoranti possono inserire nel QR Code un link al proprio menu, senza bisogno che passi di mano in mano tra i clienti, che potranno consultarlo sullo smartphone comodamente.
Anche se questi codici sembrano una soluzione perfetta, possono rappresentare un problema per la sicurezza, dato che i link che vengono aperti non possono essere ispezionati a prima occhiata per mettere in guardia l’utente da eventuali pericoli della rete.
QR Code, il problema della sicurezza
I codici QR Code sembrano rapidi e semplici da usare. Li scansioni, apri il sito web e scopri le informazioni in essi contenute. Prima di aprire un collegamento in Internet, però, non si ha la possibilità nemmeno visiva di rilevare eventuali incongruenze che potrebbero accendere un campanello d’allarme sulla sicurezza del sito.
Scansionare un QR Code richiede fiducia nel contenuto che troveremo dietro la bislacca scacchiera che è impenetrabile a occhio nudo. Ma soprattutto, scansionare il QR Code sbagliato espone lo smartphone ad attacchi di phishing e di hacker, che potrebbero controllare il dispositivo a cui ogni giorno affidiamo importanti informazioni personali, tra cui le app di servizi bancari online e gli accessi a PayPal, mail e tanto altro.
Compromettere lo smartphone con uno dei codici rapidi significa compromettere la propria sicurezza, sia personale se si tratta di un dispositivo privato, che aziendale se è il telefono del lavoro. Ad esempio, diventa sempre più comune inserire QR Code nei cv che rimandano al profilo LinkedIn del candidato e con esso nuove truffe: un ignaro selezionatore potrebbe aprirlo e ritrovarsi a fronteggiare un malware inatteso.
Cosa può fare un codice QR?
Le azioni che i QR Code possono attivare dopo essere stati scansionati sono molte. La principale è l’avvio di un sito web che, se dannoso, potrebbe infettare lo smartphone come un cavallo di Troia o raccogliere le credenziali copy-cat. Lo smartphone si troverà così indifeso e i dati potranno essere facilmente trasferiti da esso ai server di malintenzionati cybercriminali, oppure potrebbe aprirsi una porta per l’installazione di malware sul dispositivo.
Altra possibilità l’aggiunta nella lista dei contatti di una voce dannosa: un contatto predisposto per contenere malware che sfrutteranno eventuali bug nel software del dispositivo per infettarlo. O ancora, il dispositivo potrebbe aggiungere e connettersi a una rete Wi-Fi non sicura o compromessa.
C’è poi la possibilità che, attraverso i codici QR Code infettati, di abilitare pagamenti non autorizzati. Ad esempio, usando il codice rapido per donare dei soldi per beneficenza, l’utente si ritrova con account e dettagli personali rubati.
Scansionare un codice potrebbe anche avviare una chiamata vocale o inviare un SMS agli hacker, che così potranno accedere al numero di telefono dell’utente, avere le informazioni sull’ID chiamante e usare i dati per attacchi di phishing o smishing.
Tra le opzioni pericolose di un QR Code c’è anche quella che gli consente di comporre una email con destinatari e oggetti precompilati per creare attacchi di phishing, oppure far scaricare malware agli inconsapevoli utenti che seguono un account di un social network. Infine, le scansioni potrebbero creare voci nel calendario o ottenere la posizione GPS dello smartphone.
Rischi dei QR Code: come difendersi
Dato che visivamente non c’è un impatto che consenta all’utente di fiutare il pericolo, prima di scansionare un QR Code bisogna analizzare con attenzione il contesto. Se il codice si trova in un ristorante o come informazione in un’azienda che conosciamo, potrà essere scansionato in serenità. Se invece viene trovato su un volantino, che può sembrare stampato in casa, e non c’è associata una provenienza sicura, sarà meglio non approfondire le informazioni che possa contenere.
Altro aspetto da controllare attentamente, se il contesto appare affidabile, è che non sia stampato su una etichetta incollata sul volantino: qualche malintenzionato potrebbe aver sostituito il suo codice rapido con quello originale.
Infine, si potranno impostare delle opzioni di sicurezza nell’app dello smartphone per la scansione del QR Code, ad esempio richiedendo di visualizzare l’indirizzo web completo prima di avviare qualsiasi azione. Un passaggio che rende meno rapido l’uso del QR Code, ma che ripaga in sicurezza per l’utente.
Sei sicuro di proteggere davvero i tuoi dati e i tuoi dispositivi connessi online? Scarica il nostro ebook gratuito per conoscere i trucchi e i consigli per aumentare la tua sicurezza in rete.
Fonte Fastweb.it