I QR Code sono entrati nel nostro uso comune da così tanto tempo che ci sembra esistano da sempre. L’industria automobilistica giapponese è stata la prima ad utilizzarli negli anni ’90 per aumentare l’efficienza dei processi produttivi. In seguito, sono stati impiegati in tutti i settori, dalle iniziative di marketing all’autenticazione delle app, per i pagamenti mobile fino alla scansione degli arrivi nei porti internazionali. Oggi, con l’utilizzo quotidiano dei QR Code per le transazioni contactless, sono sempre più presi di mira dagli hacker.

È molto facile accedere ai QR Code con gli smartphone, quasi tutti i device iOS e Android hanno lo scanner integrato. È sufficiente attivare, puntare e scansionare il codice e il gioco è fatto. Il problema è che gli utenti non hanno la percezione del pericolo, non possono sapere in che modo i QR Code vengono utilizzati e con quale frequenza, e i responsabili della sicurezza non sempre sono al corrente dei rischi.

Come i QR Code stanno cambiando il panorama delle minacce

Per comprendere meglio le tendenze sull’utilizzo dei QR Code, a Settembre 2020 Mobileiron ha avviato un’indagine che ha coinvolto oltre 3.800 utenti di Stati Uniti, Regno Unito, Germania, Francia e Paesi Bassi. È emerso che l’utilizzo di questi codici è in costante aumento ma il dato allarmante rimane la mancanza di sicurezza sui dispositivi personali che vengono utilizzati anche per accedere ad app e dati aziendali.

L’indagine ha rilevato che negli ultimi sei mesi gli utenti di dispositivi mobile hanno scansionato almeno un QR-code in un ristorante (40%), in un negozio (32%) o su un prodotto (27%). Questo tipo di comportamento spesso rapido e distratto, combinato con il fatto che quasi tre quarti (64%) degli intervistati non è in grado di capire se un QR-code sia dannoso, significa che sono particolarmente vulnerabili a un phishing o ad altri attacchi.

I QR Code sono Hackerabili?

L’hacking di un QR-code nativo è poco pratico perché richiederebbe all’hacker di cambiare i punti pixelati nella matrice del codice. Tuttavia, è possibile incorporare software dannosi nei QR-code che si generano in automatico attraverso moltissimi programmi gratuiti disponibili su internet. Il QR Code dannoso può indirizzare gli utenti a un sito web fasullo che acquisisce dati personali come le credenziali d’accesso o la geolocalizzazione. Per questo motivo sarebbe utile scansionare solo QR Code provenienti da mittenti affidabili.

Secondo l’indagine di Mobileiron, la maggior parte degli intervistati (61%) è consapevole che i QR-code possono aprire un URL, ma non è informato su altre azioni che possono essere avviate dai QR-code, come:

  1. Aggiungere automaticamente un nuovo contatto nella rubrica del telefono dell’utente, che può essere utilizzato per avviare uno spear phishing o un altro attacco.
  2. Attivare il telefono per chiamare il numero di un truffatore, che potrebbe utilizzare a sua volta il numero.
  3. Inviare un messaggio di testo a un destinatario probabilmente dannoso.
  4. Scrivere un’email pericolosa. Preoccupante se l’email aziendale dell’utente si trova sul dispositivo.
  5. Effettuare un pagamento in pochi secondi. Oppure potrebbe consentire agli hacker anche di acquisire dati finanziari personali.
  6. Rivelare la posizione dell’utente a un’app o a un sito web malevolo.
  7. Fare in modo che gli account dei social media seguano un account dannoso, il che potrebbe rivelare informazioni personali e contatti.
  8. Aggiungere una rete Wi-Fi compromessa nell’elenco delle reti preferite e includere delle credenziali che consentirebbero al dispositivo di connettersi automaticamente a quella rete.

Gli smartphone protetti aiutano contro i QR Code dannosi

Alcune indicazioni possono ridurre al minimo i rischi e tra queste, educare gli utenti risulta fondamentale ma non possono essere la prima o l’unica linea di difesa. La sicurezza mobile è necessaria per prevenire gli errori umani. Ecco alcuni consigli:

Per gli utenti

Prima controlla, poi scansiona: si deve sempre verificare che un QR-code sia originale e che non sia stato contraffatto con un codice dannoso.

Non agire d’impulso: sembra ovvio ma spesso la curiosità porta a scansionare un codice senza pensarci troppo: come per gli URL di phishing che arrivano tramite mail, se l’indirizzo è diverso dall’URL dell’azienda, ha buone probabilità di essere dannoso.

Controlla i link bit.ly: se viene visualizzato un link accorciato da bit.ly, controlla attentamente l’URL. Basta aggiungere un simbolo più (“+”) alla fine dell’URL. Si aprirà una pagina che mostra le informazioni del collegamento.

Per le aziende

Spesso i dipendenti non sanno se i loro dispositivi sono sicuri. Se l’azienda utilizza una difesa dalle minacce mobilie, ora è il momento di assicurarsi che sia distribuita su ogni dispositivo che accede a dati sensibili, assicurandosi che i dipendenti sappiano di che tipo di protezione si tratta.

Se invece non è ancora stata attivata nessuna protezione, è arrivato il momento di farlo. Il metodo più sicuro rimane eliminare le password passando all’autenticazione a più fattori per tutte le app aziendali e i servizi cloud.

Articolo precedenteWRC 9 arriva su console next-gen
Articolo successivoRecensione Doogee N20 Pro
Francesco Palmieri
Francesco Palmieri
https://www.ceotech.it
Blogger & Social Media Manager
Facebook Instagram Linkedin Twitter

ARTICOLI CORRELATIALTRO DALL'AUTORE