di Pierguido Iezzi

L’emergenza COVID ha fatto tornare di moda i QR Code, che secondo gli esperti di cyber security questi possono essere anche “maligni”. Il cybercrime li può usare per veicolare malware o rubare informazioni

L’uso del codice QR (abbreviazione di Quick Response) sta aumentando vertiginosamente come conseguenza dell’emergenza COVID-19 (pensiamo per esempio ai menu in bar e ristoranti). Ma, come spesso accade, dove va la tecnologia il cybercrime segue. Secondo un recente studio condotto da esperti di cyber security tra gli Stati Uniti e il Regno Unito siamo in procinto di essere invasi da una vera e propria ondata di QR code “maligni” usati come cavallo di troia per rubare informazioni, diffondere malware e molto altro. Fatto reso ancora più grave dalla generale mancanza di consapevolezza della presenza di pericoli insiti nei QR code.

Le aziende e i locali pubblici li stanno usando sempre di più a causa dei pericoli del coronavirus, ma i codici possono fare anche molto altro

Il motivo della ritrovata popolarità dei codici QR è legato a un numero sempre maggiore di aziende che rinunciano a opuscoli cartacei, menu e volantini che potrebbero accelerare la diffusione del coronavirus come conseguenza dei “passamano”. Ciò ha portato le aziende e attività commerciali a rivolgersi a essi come alternativa. Infatti, consentono all’utente di scansionare un codice speciale con la fotocamera del suo smartphone-tablet per eseguire automaticamente un’azione. Esatto “un azione”, perché anche se molti di noi li hanno unicamente visti come metodi per aprire velocemente siti web, possono fare molto di più. Le “scorciatoie” possono essere programmate per eseguire un numero qualsiasi di azioni tra cui scrivere email (una sorta di bozza precompilata), fare chiamate, avviare automaticamente la navigazione o aprire materiale marketing, una pagina di profilo Facebook, Twitter o LinkedIn o effettuare qualsiasi azione da qualunque applicazione (PayPal incluso).

I QR sono un’ottima arma per i Criminal Hacker

Il problema è che i codici QR sono obiettivi attraenti per i Criminal hacker. Ciò in quanto l’interfaccia utente mobile spinge chi scannerizza il codice a intraprendere azioni immediate, limitando al contempo la quantità di informazioni disponibili. Di conseguenza, ingannare le vittime è più semplice. Come se non bastasse, gli utenti mobile sono meno vigili di quanto non lo siano quando usano un computer portatile o un desktop. Per rendere idea, in un recente sondaggio, il 51% degli intervistati ha dichiarato di non avere o di non sapere se è stato installato un software di sicurezza sui loro dispositivi mobile come Smartphone o Tablet. Ed è facile, visto questo generale grado di disinformazione, immaginare come ben presto potremmo trovarci di fronte a una vera e propria ondata di Cyber attacchi via QR code.

Il cybercrime da tempo ha spostato l’attenzione verso il mobile e potrebbe usare i codici per varie tipologie di attacco

Il cybercrime già da tempo sta spostando l’attenzione verso i dispositivi mobile come target prediletto, vista la loro diffusione e ubiquità. Ora potrebbe avere in mano un altro strumento per attaccare… Secondo gli esperti di cyber security, gli scenari di attacco ipotizzabili sono moltissimi: da un aggressore che incorpora un URL maligno contenente malware personalizzato in un codice QR – che potrebbe poi estrarre i dati da un dispositivo mobile quando viene scansionato – e lo diffonde ovunque mascherandolo come coupon o fantomatico sconto. Oppure, il codice QR potrebbe direttamente dirottare l’utente su un sito di phishing che cerca di raccogliere credenziali o altre informazioni personali e aziendali alla semplice prima scansione. C’è anche una certa mancanza di consapevolezza non solo sui rischi a cui potremmo andare incontro scannerizzando un codice senza pensarci due volte, ma anche sul tipo di azioni che questi possono mettere in atto.

A ulteriore vantaggio dei criminali cibernetici c’è la scarsa conoscenza delle potenzialità dei QR da parte degli utenti. Questi, peraltro, ne chiedono un maggior uso in futuro

La ricerca che ha portato alla luce queste preoccupazioni, peraltro, ha svolto anche dei sondaggi per capire quanti tra gli intervistati sapessero che i QR possono scrivere mail, fare telefonate, etc… Solo il 19 per cento del campione ritiene che la scansione di un codice possa avviare un’e-mail; il 20 per cento che possa avviare una telefonata e il 24 che la scansione di un codice QR possa preimpostate un messaggio di testo. Si tratta di un’area della cyber security che merita maggiore attenzione, soprattutto se si considera che il 53% degli intervistati ha dichiarato che vorrebbe che i codici QR venissero utilizzati in modo più ampio in futuro. Questo include applicazioni potenzialmente rischiose, come il voto (da qualche tempo si parla di sperimentare con codici QR unici recapitati per posta), ma anche sistemi di pagamento. Apple Pay, per esempio, potrebbe presto essere in grado di offrire la possibilità di effettuare pagamenti tramite codici QR, utilizzando Apple Wallet. Insomma, anche se per il momento i riscontri non sono stati incredibilmente numerosi, questa potrebbe essere una nuova area di espansione per il cybercrime…