QR code phishing
Fondamentali per una vita contactless, ma attenzione ai pericoli nascosti
I Qr code sono ormai diffusi e ampiamente utilizzati in tutto il mondo.
In particolare, dopo l’esplosione della pandemia Covid-19 e alla necessità di limitare il più possibile il contatto con superfici o oggetti o per rendere più agevole la scansione di un certificato. I codici QR rappresentano un sistema pratico e veloce per effettuare collegamenti web ma sono potenzialmente pericolosi anche a causa della loro facilità di utilizzo. Molti sono i malintenzionati che sfruttano l’interesse, la curiosità e talvolta anche la necessità degli utenti per attirarne l’attenzione e spingerli a scansionare un codice fraudolento.
In effetti, l’uso dei QR code è ampio, variegato e le situazioni in cui è possibile se non necessario utilizzare questa tecnologia sono aumentate notevolmente.
Vuoi prendere un volo? Scansiona il QR code del tuo biglietto per validarlo e proseguire il tuo viaggio.
Vuoi saperne di più su un prodotto che hai acquistato? È probabile che sulla sua confezione ci sia un QR code: scansionalo e ne otterrai maggiori informazioni.
Sei in un museo e vuoi avere una spiegazione in merito ad un’opera che stai osservando? Scansiona il QR code e ne otterrai l’audioguida.
Lo stesso Green Pass è un codice QR che viene scansionato per verificarne o meno la validità.
Vediamo dunque insieme cosa sono i QR code, come funzionano e quando è necessario prestare attenzione al loro utilizzo e soprattutto alla loro lettura.
La nuova frontiera delle truffe online: il QR Code phishing
“Uno dei metodi di phishing preferito dagli attaccanti” così descrive Len Noe – ex Black hat hacker americano passato ormai al lato degli White Hat, ovvero degli hacker etici – le truffe messe in atto utilizzando i codici QR.
Di fatto, generare questi codici è semplicissimo e lo è ancor di più diffonderli.
Viene suggerito dallo stesso Noe ma anche da altri esperti informatici, di prestare attenzione ai codici QR tanto quanto presteremmo attenzione alle tradizionali e-mail di phishing.
Un fenomeno che risulta in netta crescita: lo stesso Better Business Bureau ha registrato un aumento considerevole di truffe online messe in atto attraverso codici QR che conducono a siti web truffa il cui obiettivo è:
- raccogliere informazioni
- rubare dati finanziari o di pagamento
- impossessarsi di dettagli personali o di immagini e documenti privati.
Inoltre, un QR code truffaldino può essere impiegato dagli attaccanti per connettersi a una rete Wi-Fi non protetta così da condurre l’utente ad un collegamento dannoso. Ma non è finita qui. I codici possono indurre la vittima a scaricare mobile malware oppure consentono di tramettere spyware o altri tipi di virus informatici.
Purtroppo, non sempre è semplice comprendere l’affidabilità di un codice prima di averlo scansionato ma è bene prestare davvero attenzione e non compiere questa azione con troppa leggerezza.
QR Code phishing, il caso dei parchimetri truffaldini
Scansionare QR code è semplice ma è altrettanto facile generarli.
Tutti siamo abituati a fruire con frequenza della tecnologia dei QR code: sia che si tratti di consultare il menu al ristorante, o per per pagare una bolletta. Proprio quando un’azione diventa abitudine che ci troviamo ad abbassare la guardia da possibili rischi.
Per capirne a fondo i rischi dell’uso incondizionato dei QR code, vi riportiamo un esempio concreto ed eclatante di truffa online la cui esca sono proprio questi codici posizionati presso i parchimetri.
Siamo ad Austin, nella capitale del Texas, nel gennaio 2022.
Accanto alle colonnine che normalmente vengono utilizzate per pagare il parcheggio, sono state apposte delle etichette riportanti un codice QR. Le etichette sollecitano chiunque ad effettuare il pagamento del parcheggio accedendo al sito web apposito tramite scansione di QR code.
Purtroppo, centinaia di automobilisti ignari hanno lasciato l’automobile negli appositi spazi, ricorrendo al QR code si sono allontanati, convinti di aver regolarmente pagato la sosta.
Si è scoperto che, utilizzando i codici truffaldini, la connessione degli utenti veniva reindirizzata su un sito web di phishing nel quale gli attaccanti intercettavano tutte le informazioni delle vittime all’atto del pagamento del parcheggio. Sarebbe stato più facile intercettare la truffa se gli hacker avessero prosciugato i conti di coloro che cadevano nella loro trappola.
Al contrario, a questi criminali è bastato limitarsi a dirottare l’importo del parcheggio verso conti situati in altre posizioni difficili da individuare.
QR Code phishing, dalle e-mail al mercato online
La nuova tendenza in ambito cybercrime consiste nell’invio di QR code malevoli anche attraverso i messaggi di posta elettronica.
Il messaggio si configura in genere come la classica email di phishing: un pacco in giacenza oppure un avviso da parte di un istituto di credito.
Una email intestata, con la descrizione di un problema che può essere risolto semplicemente scansionando il codice indicato, richiedendo una nuova carta di credito o effettuando un pagamento oppure concedendo i dati personali richiesti. Voilà, il gioco è fatto.
Anche il mondo delle cripto valute non risparmia le vittime dalla minaccia phishing dei codici: è frequente l’utilizzo di codici QR per trasferire somme in cripto valute. Naturalmente, questa tecnica può essere impiegata dallo stesso attaccante per inoltrare messaggi ingannevoli che invitano a scansionare dei codici per investire una somma in Bitcoin e ottenerne un forte guadagno.
In effetti, la somma viene prelevata e investita ma mai più restituita all’utente.
Come evitare le truffe QR Code phishing
Non è facile riconoscere i QR code malevoli.
È sufficiente che i codici contraffatti vengano apposti al di sopra ed in corrispondenza di quelli reali oppure è sufficiente che vengano applicati adesivi con QR code truffaldini accompagnati da immagini o riferimenti a marchi famosi. Capita anche che i codici trappola vengano utilizzati con buoni sconto: gli utenti sono più sensibili e diventano più fragili quando vedono la possibilità di ottenere un codice sconto per un acquisto.
Dunque quali attenzioni applicare per limitare i rischi del QR code phishing?
- Scansionare solamente i QR code provenienti da fonti attendibili.
- Evitate categoricamente la scansione dei QR code presenti nei luoghi pubblici
- Controllate la presenza di protocolli SSL sul sito web nel quali siete atterrati dopo la scansione del codice QR
- Usare sempre scanner QR che visualizzino gli URL prima di aprirli
- Aggiornare regolarmente smartphone e dispositivi per la scansione dei codici QR
Resta dunque l’imperativo a prestare una grande attenzione a questo tipo di attacco phishing.
Sebbene il phishing via e-mail o via chat sia ormai conosciuto e diffuso, per quanto riguarda il phishing dei QRcode, purtroppo, parliamo di una pratica in via di sviluppo.
Prestate sempre molta attenzione ai dettagli. Se qualcosa vi sembra anomalo, vi consigliamo di trovare modalità diverse per condividere informazioni ed effettuare transazioni.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.
