I QR Code sono entrati nel nostro uso comune da così tanto tempo che ci sembra esistano da sempre. L’industria automobilistica giapponese è stata la prima ad utilizzarli negli anni ’90 per aumentare l’efficienza dei processi produttivi. In seguito, sono stati impiegati in tutti i settori, dalle iniziative di marketing all’autenticazione delle app, per i pagamenti mobile fino alla scansione degli arrivi nei porti internazionali. Oggi, con l’utilizzo quotidiano dei QR Code per le transazioni contactless, sono sempre più presi di mira dagli hacker.
È molto facile accedere ai QR Code con gli smartphone, quasi tutti i device iOS e Android hanno lo scanner integrato. È sufficiente attivare, puntare e scansionare il codice e il gioco è fatto. Il problema è che gli utenti non hanno la percezione del pericolo, non possono sapere in che modo i QR Code vengono utilizzati e con quale frequenza, e i responsabili della sicurezza non sempre sono al corrente dei rischi.
Come i QR Code stanno cambiando il panorama delle minacce
Per comprendere meglio le tendenze sull’utilizzo dei QR Code, a Settembre 2020 Mobileiron ha avviato un’indagine che ha coinvolto oltre 3.800 utenti di Stati Uniti, Regno Unito, Germania, Francia e Paesi Bassi. È emerso che l’utilizzo di questi codici è in costante aumento ma il dato allarmante rimane la mancanza di sicurezza sui dispositivi personali che vengono utilizzati anche per accedere ad app e dati aziendali.
L’indagine ha rilevato che negli ultimi sei mesi gli utenti di dispositivi mobile hanno scansionato almeno un QR-code in un ristorante (40%), in un negozio (32%) o su un prodotto (27%). Questo tipo di comportamento spesso rapido e distratto, combinato con il fatto che quasi tre quarti (64%) degli intervistati non è in grado di capire se un QR-code sia dannoso, significa che sono particolarmente vulnerabili a un phishing o ad altri attacchi.
I QR Code sono Hackerabili?
L’hacking di un QR-code nativo è poco pratico perché richiederebbe all’hacker di cambiare i punti pixelati nella matrice del codice. Tuttavia, è possibile incorporare software dannosi nei QR-code che si generano in automatico attraverso moltissimi programmi gratuiti disponibili su internet. Il QR Code dannoso può indirizzare gli utenti a un sito web fasullo che acquisisce dati personali come le credenziali d’accesso o la geolocalizzazione. Per questo motivo sarebbe utile scansionare solo QR Code provenienti da mittenti affidabili.
Secondo l’indagine di Mobileiron, la maggior parte degli intervistati (61%) è consapevole che i QR-code possono aprire un URL, ma non è informato su altre azioni che possono essere avviate dai QR-code, come:
- Aggiungere automaticamente un nuovo contatto nella rubrica del telefono dell’utente, che può essere utilizzato per avviare uno spear phishing o un altro attacco.
- Attivare il telefono per chiamare il numero di un truffatore, che potrebbe utilizzare a sua volta il numero.
- Inviare un messaggio di testo a un destinatario probabilmente dannoso.
- Scrivere un’email pericolosa. Preoccupante se l’email aziendale dell’utente si trova sul dispositivo.
- Effettuare un pagamento in pochi secondi. Oppure potrebbe consentire agli hacker anche di acquisire dati finanziari personali.
- Rivelare la posizione dell’utente a un’app o a un sito web malevolo.
- Fare in modo che gli account dei social media seguano un account dannoso, il che potrebbe rivelare informazioni personali e contatti.
- Aggiungere una rete Wi-Fi compromessa nell’elenco delle reti preferite e includere delle credenziali che consentirebbero al dispositivo di connettersi automaticamente a quella rete.
Gli smartphone protetti aiutano contro i QR Code dannosi
Alcune indicazioni possono ridurre al minimo i rischi e tra queste, educare gli utenti risulta fondamentale ma non possono essere la prima o l’unica linea di difesa. La sicurezza mobile è necessaria per prevenire gli errori umani. Ecco alcuni consigli:
Per gli utenti
Prima controlla, poi scansiona: si deve sempre verificare che un QR-code sia originale e che non sia stato contraffatto con un codice dannoso.
Non agire d’impulso: sembra ovvio ma spesso la curiosità porta a scansionare un codice senza pensarci troppo: come per gli URL di phishing che arrivano tramite mail, se l’indirizzo è diverso dall’URL dell’azienda, ha buone probabilità di essere dannoso.
Controlla i link bit.ly: se viene visualizzato un link accorciato da bit.ly, controlla attentamente l’URL. Basta aggiungere un simbolo più (“+”) alla fine dell’URL. Si aprirà una pagina che mostra le informazioni del collegamento.
Per le aziende
Spesso i dipendenti non sanno se i loro dispositivi sono sicuri. Se l’azienda utilizza una difesa dalle minacce mobilie, ora è il momento di assicurarsi che sia distribuita su ogni dispositivo che accede a dati sensibili, assicurandosi che i dipendenti sappiano di che tipo di protezione si tratta.
Se invece non è ancora stata attivata nessuna protezione, è arrivato il momento di farlo. Il metodo più sicuro rimane eliminare le password passando all’autenticazione a più fattori per tutte le app aziendali e i servizi cloud.