Home Technologia Pericolo di codici QR. Come possono i truffatori sfruttarli per rubare...

Pericolo di codici QR. Come possono i truffatori sfruttarli per rubare denaro

99
0

Cecilia Pastorino, un hacker etico, spiega sul blog ESET quali sono i pericoli e come difendersi da tali attacchi.

I codici QR sono in voga ora. Sono in circolazione dal 1994, ma è stato solo con l’era del COVID-19 che sono diventati veramente famosi. Al giorno d’oggi, puoi trovarli ovunque, utilizzati per tutti i tipi di scopi, dalla visualizzazione dei menu dei ristoranti, alla facilitazione delle transazioni contactless, all’integrazione nelle applicazioni di tracciamento dei contatti.

Come ogni altra tecnologia popolare, però, l’uso diffuso dei codici QR ha attirato l’attenzione dei truffatori, che li hanno adottati con finalità dannose. Questa tendenza ha persino innescato un avviso da parte del Federal Bureau of Investigation (FBI) degli Stati Uniti. In questo articolo, esaminiamo come i truffatori utilizzano i codici di profitto illecito e cosa prestare attenzione durante la scansione di un codice QR.

Che cos’è un codice QR e come funziona?

Abbreviato per “Risposta rapida”, un codice QR è un tipo di codice a barre che può essere scansionato e, come suggerisce il nome, è progettato per essere letto e interpretato istantaneamente da un dispositivo digitale. Un codice QR può memorizzare fino a 4.296 caratteri alfanumerici, anche se quelli comunemente usati tendono a contenere meno caratteri e quindi consentono una facile decodifica da parte della fotocamera dello smartphone.

Le stringhe codificate in un codice QR possono contenere una varietà di dati. L’azione richiesta per leggere un codice QR dipende dall’applicazione che interagisce con quel codice. I codici possono essere utilizzati per aprire un sito Web, scaricare un file, aggiungere un contatto, connettersi a una rete Wi-Fi e persino effettuare pagamenti, tra molte altre opzioni. I codici QR sono estremamente versatili e possono essere personalizzati per includere loghi. Le versioni dinamiche dei codici QR ti consentono persino di modificare il contenuto o l’azione in qualsiasi momento. Questa versatilità può, tuttavia, essere un’arma a doppio taglio.

Come si possono sfruttare i codici QR?

L’elevato numero di casi di utilizzo del codice QR (e il potenziale uso improprio) non è un problema trascurato dai truffatori. Ecco come i criminali possono corrompere i codici per rubare dati e denaro:

  1. Ti reindirizza a un sito Web dannoso per rubare i tuoi dati sensibili

Gli attacchi di phishing non si diffondono solo tramite e-mail, messaggi istantanei o messaggi di testo. Proprio come gli aggressori possono utilizzare pubblicità dannose e altre tecniche per indirizzare le vittime verso siti fraudolenti, possono fare lo stesso con i codici QR. Questo è motivo di preoccupazione, soprattutto quando i codici vengono visualizzati su cartelloni pubblicitari in aree affollate o vicino a banche e altri istituti finanziari. In un recente caso diffuso, i truffatori hanno posizionato adesivi con codici QR fraudolenti in parcheggi pubblici in diverse città del Texas, indirizzando le persone a siti di pagamento falsi.

  1. Scarica un file dannoso sul tuo dispositivo

Molti bar e ristoranti utilizzano codici QR per scaricare un menu PDF o per installare un’applicazione che consenta ai clienti di effettuare un ordine. Gli aggressori potrebbero facilmente modificare il codice QR per indurre l’utente a scaricare un file PDF dannoso o un’applicazione mobile illegittima.

  1. Attiva azioni sul dispositivo

I codici QR possono attivare azioni direttamente sul tuo dispositivo, a seconda dell’app che li legge (anzi, fai attenzione alle applicazioni di scansione di codici a barre false). Tuttavia, ci sono alcune azioni di base che qualsiasi lettore QR di base è in grado di interpretare. Questi includono la connessione del dispositivo a una rete Wi-Fi, l’invio di un’e-mail o un messaggio SMS con un testo predefinito o il salvataggio delle informazioni di contatto sul dispositivo. Sebbene queste azioni di per sé non siano dannose, potrebbero essere utilizzate per bloccare un dispositivo su una rete compromessa o per inviare messaggi per conto della vittima.

  1. Deviare un pagamento o effettuare una richiesta di pagamento

La maggior parte delle applicazioni finanziarie oggigiorno consente di effettuare pagamenti tramite codici QR che contengono dati appartenenti al destinatario del denaro. Molti negozi mostrano questi codici ai propri clienti e facilitano così la transazione. Tuttavia, un utente malintenzionato potrebbe modificare questo QR con i propri dati e ricevere pagamenti sul proprio account. Potrebbe anche generare codici per raccogliere denaro per ingannare gli acquirenti, come nel caso di quegli utenti che hanno riferito di essere stati truffati con codici di pagamento QR falsi.

  1. Ruba l’identità dell’utente o l’accesso a un’applicazione

Molti codici QR vengono utilizzati per verificare le informazioni di una persona, come i dati personali o il certificato di vaccinazione. In questi casi, i codici QR possono contenere informazioni sensibili come i dati inclusi nel bollettino o nella cartella clinica, che un aggressore potrebbe facilmente ottenere scansionando il codice QR.

Certamente, molte applicazioni, come WhatsApp, Telegram o Discord, a volte utilizzano codici QR per autenticare le sessioni utente e quindi consentire agli utenti di accedere ai propri account. Come è già successo con WhatsApp, con attacchi come QRLjacking, gli aggressori possono ingannare un utente impersonando l’entità che fornisce il servizio e ingannando l’utente facendogli scansionare il QR fornito dall’attaccante.

Nella maggior parte degli scenari, l’attaccante dovrà generare un codice QR dannoso che sostituirà quello originale. In altre parole, gli attacchi coinvolgono l’ingegneria sociale e si basano sull’inganno della vittima per porre fine alle frodi.

Ecco cosa devi considerare prima di scansionare un codice QR:

Suggerimenti per rimanere protetti durante l’utilizzo dei codici QR

  • Prima di scansionare un QR code, verifica che non sia stato manomesso; ad esempio, controlla che non copra un altro codice QR.

  • Evita di scansionare codici QR o codici trovati casualmente da messaggi non richiesti.

  • Presta molta attenzione ai codici QR, come link o allegati nelle e-mail o nelle applicazioni di messaggistica.

  • Fai molta attenzione quando utilizzi un codice QR per pagare una fattura o effettuare un altro tipo di transazione finanziaria. Prendi in considerazione l’utilizzo di un’altra opzione di pagamento.

  • Disattiva l’opzione per eseguire azioni automatiche durante la scansione di un codice QR, come visitare un sito Web, scaricare un file o connettersi a una rete Wi-Fi.

  • Dopo la scansione, guarda l’URL per vedere se è legittimo. Anche così, spesso è meglio evitare di inserire le tue informazioni di accesso o informazioni personali su un sito che hai raggiunto con un codice QR. Se qualcosa non funziona, apri un browser e inserisci tu stesso l’URL.

  • Non condividere codici QR che contengono informazioni sensibili, come quelle utilizzate per accedere alle applicazioni o quelle incluse in documenti e certificati sanitari.

  • Quando si genera un codice QR, utilizzare un servizio affidabile. Tale servizio può anche verificare che il codice QR sia autentico e solo allora eseguire l’azione desiderata.

  • Mantieni aggiornate le tue applicazioni e usa un software di sicurezza.

Se ti piace questo articolo, non vediamo l’ora di entrare a far parte della community di lettori sulla nostra pagina Facebook, con un Like qui sotto:

Articolo precedenteLaptop MSI: ideali per uno stile di vita dinamico
Articolo successivoIl gesto inaspettato di Whitney Houston prima di morire