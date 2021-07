Utilizzati ovunque, ora anche dagli hacker per eludere i meccanismi di antiphishing e attirare in trappola utenti poco attenti con siti fasulli. Ecco come difendersi

Green Pass, menù dei locali, biglietti da visita, certificati di vaccinazione. Oggi sempre di più persone utilizzano i Qr code per accedere rapidamente a informazioni facilmente raggiungibili grazie a un collegamento internet. Questa ritrovata popolarità dello strumento, però, potrebbe renderlo il nuovo vettore d’attacco preferito da hacker e cybercriminali.

L’allerta arriva, tra gli altri, da Innovery, una multinazionale italiana specializzata in cybersecurity che, analizzando l’evoluzione deli attacchi phishing, ha individuato in questo codice quadrato una possibile arma nelle mani dei criminali informatici. Secondo i dati dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, complice la diffusione dello smart working e il lavoro da remoto, il 2020 è stato un anno di grandi emergenze per il settore cybersecurity, con un incremento del 40% degli attacchi informatici nei confronti imprese rispetto al 2019.

Questo aumento ha portato i cybercriminali a trovare nuove soluzioni per mettere le mani sui dati degli utenti. I Qr Code vengono impiegati nei contesti più vari: per l’accesso a eventi e luoghi pubblici, per la prenotazione di visite mediche, per ritirare prescrizioni, per la fatturazione elettronica, per sostituire i biglietti cartacei e per ultimo lo stesso Green Pass. Proprio su quest’ultimo nell’ultima settimana di giugno il Garante della privacy italiano si è espresso consigliando a chiunque avesse già ricevuto il Qr code di non condividerlo sui social network onde evitare furti d’identità, truffe o fastidiose profilazioni commerciali.

Grazie alla versatilità e velocità con cui si possono trasmettere una serie d’informazioni, l’utilizzo del Qr code è particolarmente apprezzato dagli utenti. infatti secondo l’indagine svolta da Innovery il 46% degli intervistati ritiene di sentirsi sicuro a utilizzarlo nei contesti sopra citati. L’utilizzo di questi codici, non a caso, è passato dal 9% del pubblico del 2020 al 14% nel 2021.

“L’aumento dell’utilizzo di dispositivi mobile per svolgere molte delle nostre attività quotidiane ci espone a nuovi rischi, e la scarsa consapevolezza sulle possibili minacce che la scansione di un Qr code può veicolare, è una preoccupazione sempre più impellente” spiega Massimo Grandesso, Cybersecurity Manager di Innovery a Wired. “I Qr code inviati via email riescono ad eludere i normali sistemi di antiphishing: il Qishing, così si chiama questa tecnica, funziona esattamente come cliccare su un link, solo che il link non è visibile in quanto codificato nel QR Code, e si dovrebbero utilizzare le stesse cautele che si usano per i link”.

La scansione di un codice malevole può infatti indirizzare automaticamente gli inconsapevoli utenti verso un url di phishing, dove vengono richieste le credenziali dell’utente. Convinto si tratti di un collegamento autentico – e spesso confuso da una grafica del sito che riproduce fedelmente quella della reale controparte – l’utente ignaro di essere vittima di un raggiro scrive le proprie credenziali consentendo ai malintenzionati di prendere il controllo dei suoi account di posta elettronica o dei social media. La scansione di un Qr code maligno potrebbe anche condurre gli utenti a un app store illegittimo, dove scaricare inconsapevolmente app dannose contenenti ransomware, trojan o altri tipi di malware che installati inconsapevolmente sul proprio dispositivo espongono gli utenti al furto di dati, alla violazione della privacy.

Nel caso del Green Pass, come affermato dal Garante della Privacy, si rischia di cedere preziosissimi dati personali come il nome, la data e il luogo di nascita, le dosi di vaccino effettuate ma anche eventuali tamponi rapidi, molecolari e tutte le altre informazioni mediche condivise con i medici in sede di anamnesi pre inoculo. Tutte queste sono informazioni che possono essere utilizzate in truffe mirate, profilazione commerciale o addirittura per commettere un “furto di identità” commettendo crimini informatici o truffando altri sfortunati utilizzando in prestito l’identità di un altro malcapitato.

“Come per il caso delle mail phishing, anche di fronte a questa nuova tipologia di attacchi, non ad alta complessità, la soluzione più semplice e immediata è quella di intervenire sul fattore umano per mitigare i rischi, sensibilizzando i dipendenti e in generali i cittadini attraverso corsi di formazione e campagne di comunicazione su nuove tecniche di attacco a cui possiamo andare in contro”, spiega Massimo Grandesso a Wired. “Esistono molte app sicure per la scansione dei Qr code che permettono agli utenti di visionare in anteprima i siti web, inoltre è sempre meglio utilizzare fonti affidabili per scaricare le applicazioni, come App Store di Apple o Play Store di Google”, continua Grandesso.

I Qr code, inoltre, vengono utilizzati anche per effettuare le transazioni di bitcoin tra gli utenti. Basta infatti scansionarne uno per ottenere un trasferimento di criptovalute. Così facendo, segnala Innovery, nel solo mese di marzo 2020, utilizzando app di scansione malevoli, sono stati sottratti 45mila dollari in bitcoin.

Come limitare i rischi nell’utilizzo di Qr code?

Come per la mail di phishing, un’attenzione particolare è richiesta quando si scansionano Qr code con dispositivi di mobile aziendali o privati, spesso meno protetti rispetto alla classica postazione di lavoro. In questi casi la probabilità di atterrare su siti ostili o scaricare applicazioni malevole, in grado di eludere qualsiasi sistema di sicurezza dell’infrastruttura, è molto elevato.

• Tra i consigli per limitare i rischi nell’utilizzo del Qr code gli esperti di cybersecurity ricordano di:

• Non condividere Qr con i propri dati se non necessario;

• Evitare sempre l’apertura automatica di una pagina dal Qr code, visualizzare prima con attenzione l’indirizzo url su quale si atterrerà;

• Accertarsi sempre che il Qr code arrivi da una fonte accreditata, e, quando si tratta di codici stampati, come ad esempio su un menu, assicurarsi che siano gli originali e non siano stati incollati sopra dei doppioni;

• Se il proprio device non dispone di un lettore Qr integrato, ricordarti sempre di scaricare app qualificate;

• Evitare di scansionare Qr code dai canali social, o arrivati vi email se non attesi