Malware e phishing con i codici QR sono le nuove minacce del 2024, scopri come funzionano e come difenderti.

In un mondo sempre più digitalizzato, i codici QR sono diventati uno strumento quotidiano, utilizzati per tutto, dai menu dei ristoranti durante la pandemia ai biglietti aerei, fino alle guide interattive dei musei. Tuttavia, con questa crescente dipendenza, emergono nuove minacce.

Immaginate di essere in un negozio e vedere un etichetta con un codice QR appesa a un manichino. Vi avvicinate, incuriositi, e lo scansionate con il vostro smartphone. In un istante, senza che ve ne rendiate conto, potreste essere stati reindirizzati a un sito web di phishing o avere scaricato un malware. Ecco, questo scenario non è fantascienza, ma una realtà sempre più comune.

In questo post vediamo come funzionano i codici QR, quali sono i rischi per la sicurezza e, soprattutto, come difenderci. Continua a leggere!

Nella semplicità dei codici QR risiede il loro grande vantaggio, ma anche la loro debolezza: possono essere sfruttati facilmente per ingannare le persone.

Cosa sono i codici QR

La sigla QR sta per Quick Response, che in inglese significa risposta rapida. Infatti, i codici QR nascono proprio con questo scopo: semplificare e velocizzare al massimo l’interazione tra l’utente e un contenuto.

Ad esempio, come saprete, con lo smartphone è possibile scannerizzare una codice QR e visualizzare direttamente il menu di un ristorante, senza dover digitare l’indirizzo completo. In questo modo si risparmia tempo e, soprattutto, si evitano errori, offrendo alle persone un’esperienza più fluida e piacevole.

Come funzionano i codici QR

Scansionare e creare un codice QR è molto facile, in rete si trovano decine di software anche gratuiti e tutti i dispositivi mobili recenti supportano la scansione con la fotocamera.

Vediamo come funziona la creazione di un codice QR:

  1. A seconda delle informazioni da codificare si sceglie uno dei metodi di codifica disponibili.
  2. Le informazioni vengono convertite in una stringa di bit.
  3. Ai dati vengono aggiunte le informazioni per la correzione degli errori, che consentono di recuperare il codice QR anche se questo viene danneggiato. Esistono 4 livelli di correzione, da basso ad alto.
  4. Con i dati finali viene generato il codice QR, a cui vengono aggiunti i tre quadratini negli angoli, che aiutano gli scanner a inquadrare rapidamente il codice, e altri quadrati neri per la temporizzazione, anche questi indipendenti dal contenuto del codice e utili per gli scanner per interpretare il codice.
  5. Per garantire che il codice sia ancora più facile da leggere e ridurre al minimo gli errori, viene applicata una maschera, ovvero vengono modificati alcuni quadrati bianchi e neri per evitare aree di grandi dimensioni dello stesso colore e altre situazioni che potrebbero confondere lo scanner. Infine, vengono aggiunte delle informazioni che indicano agli scanner quale maschera è stata usata.
  6. Il risultato finale è la griglia di quadratini neri e bianchi che tutti conosciamo, che può essere stampata o visualizzata digitalmente per essere scansionata.

Questi sono i passaggi necessari per la creazione di un codice QR. Nella semplicità di questa tecnologia risiede il suo grande vantaggio, ma anche la sua debolezza: può essere sfruttata facilmente per ingannare le persone e indirizzarle a siti web pericolosi.

LEGGI ANCHE: Phishing, la parola all’esperto per capire com’è cambiato

Sicurezza dei codici QR

I criminali informatici hanno trovato vari modi per sfruttare i codici QR, principalmente indirizzando la vittima su un sito di phishing o inducendola a scaricare malware e compiere altre azioni pericolose.

Le truffe con i codici QR funzionano per diversi motivi:

  • I codici QR sono facili da usare.
  • Molti utenti sottovalutano i rischi per la sicurezza e la diffusione delle truffe che sfruttano questa tecnologia.
  • È difficile verificare l’autenticità dei codici QR prima di eseguirne la scansione.
  • Il contesto contribuisce a renderli efficaci, perché i criminali li posizionano in punti strategici, dove è probabile che le persone li scannerizzino senza controllare.
  • L’adozione è aumentata in modo rapidissimo durante la pandemia, quando la necessità di una tecnologia senza contatto ha spinto molte persone a usarla senza particolari attenzioni.

Nel complesso, i codici QR hanno le caratteristiche ideali di un canale e di una tecnologia utile per i cybercriminali, ovvero sono semplici da implementare, difficili da controllare per gli utenti e la rapidità di utilizzo fa abbassare la guardia a chi li usa.

La prima cosa da fare è controllare l’indirizzo del codice QR e ricordarsi di non inserire dati personali.

Come difendersi dalle truffe con i codici QR

Per proteggersi dai malware, dal phishing e dalle altre attività criminali che sfruttano i codici QR, ci sono varie cose che possiamo fare:

  • Innanzitutto, verifica la fonte del codice prima di eseguirne la scansione. Se trovi un codice QR stampato su un volantino o in un luogo pubblico, qualcuno potrebbe averlo manomesso o averne sovrapposto uno fraudolento.
  • Usa un’app di scansione sicura. Alcune hanno funzionalità di sicurezza aggiuntive, come l’anteprima dell’URL, che potrebbero aiutarti a non finire su siti web dannosi.
  • Non inserire dati personali. La maggior parte dei codici QR serve per autenticarsi o per accedere a contenuti da consultare, come un menu o le caratteristiche di un prodotto, e non richiede di inserire informazioni o dati di accesso. Se scansioni un codice QR e si apre una pagina in cui ti viene chiesto di inserire dati di login o personali, potrebbe essere una truffa.
  • Tieni aggiornato il dispositivo per approfittare delle ultime patch di sicurezza e degli aggiornamenti dei software di scansione.
  • Fai attenzione e informati sulle truffe più recenti che si basano sui codici QR.

Gli attacchi informatici con i codici QR sono efficaci perché sono rapidi e semplici da attuare, per cui la vittima non ha tempo di alzare la guardia e controllare il codice. I codici QR esistono proprio per rendere un’azione rapida e facile, ma se la posta in gioco è la sicurezza del dispositivo o il conto in banca, allora vale la pena prestare un po’ di attenzione in più e non aprire i link indiscriminatamente, proprio come faremmo con quelli di un’email o di un SMS.

NOVITÀ: scopri i risultati del sondaggio sulla cybersicurezza europea di Panda Security

Buona navigazione e buon utilizzo sicuro dei codici QR!