Codici QR veicolo di truffe e malware: anche l'FTC lancia l'allarme

I codici QR, ormai entrati nell'uso comune grazie alla loro facilità di veicolare informazioni e collegamenti a documenti o pagine web, rappresentano purtroppo anche un rischio di sicurezza particolarmente importante, tanto che anche la Federal Trade Commission americana ha deciso di avvertire i consumatori di prestare attenzione alle truffe perpetrate tramite questi strumenti. Avvertimento che anche se arriva dall'altra parte dell'oceano, è assolutamente applicabile anche dalle nostre parti.

Ormai da diverso tempo, e in particolar modo durante e dopo la pandemia COVID-19, i codici QR sono utilizzati da ristoranti per consentire una rapida consultazione del menu, dai locali pubblici per accedere agevolmente ad una rete WiFi, nei parcheggi per semplificare le operazioni di pagamento della sosta e anche all'interno di servizi di streaming, come ad esempio YouTube, Disney+, Apple TV e via discorrendo per consentire di accedere al proprio account inquadrando il QR code con il telefono e autenticando così l'accesso.

Ci sono però tre caratteristiche dei codici QR che li hanno resi un formidabile veicolo di truffe e minacce alla sicurezza: la loro facilità d'uso, la loro diffusione e l'impossibilità di capire - se non dopo aver utilizzato il codice - con chi si stia realmente avendo a che fare.

Questo ha portato criminali e truffatori a disseminare ad esempio i parcheggi con QR code fasulli che scimmiottano i servizi di pagamento legittimi, così da indurre gli utenti ad effettuare un pagamento che credono essere inviato alla società di gestione del parcheggio quando il denaro viene invece inviato ai criminali.

I QR code diventano anche un veicolo per malware o per operazioni di sottrazione delle credenziali: inquadrando un QR code opportunamente realizzato è infatti possibile collegarsi ad un sito che imita in tutto e per tutto il sito legittimo, ma che in realtà è controllato dai malintenzionati. Non solo, di recente i QR code vengono usati anche per campagne di phishing via email dal momento che le immagini riescono ad aggirare con maggior facilità i software di sicurezza, che normalmente controllano l'eventuale presenza di link dannosi.

In questi frangenti sono due i possibili approcci alla sicurezza: quello "trust no one", che imporrebbe quindi la decisione di non fidarsi di alcun codice QR e quindi preferire altri metodi di comunicazione o uso di un servizio, oppure quello meno drastico ma improntato comunque ad una cautela e consapevolezza particolarmente elevate.

Anzitutto prima di scansionare un codice QR è bene verificare che non sia stato in qualche modo manomesso, ad esempio con l'applicazione di un adesivo recante un altro codice QR. Nel caso, meglio diffidare ed evitarne l'uso. Inoltre diffidare in maniera intransigente di qualsiasi codice QR presente all'interno del corpo di un'e-mail, dato che difficilmente una mail legittima conterrà un codice QR invece di un normale link.

Una volta scansionato il codice QR controllare che conduca ad un indirizzo legittimo e ufficiale di chi ha fornito il codice. Come accade nel caso delle "tradizionali" operazioni di phishing, spesso i nomi di dominio contraffatti sono simili a quelli reali, tranne per qualche carattere o combinazione di caratteri che ad uno sguardo distratto può sembrare normale.

Di conseguenza anche l'inserimento di dati personali, credenziali di accesso o informazioni di pagamento dovrebbe essere fatto solamente dopo la ragionevole certezza di avere a che fare con il sito/servizio legittimo a cui ci stiamo rivolgendo.

Infine è bene evitare l'uso di app scanner di terze parti di codici QR sul proprio smartphone, dal momento che ormai tutti i telefono hanno uno scanner integrato che offre la massima affidabilità. Un'app, magari la cui origine è dubbia, potrebbe sempre manipolare o intercettare dati e informazioni.

Si tratta di pratiche di buon senso che è bene tenere sempre a mente, senza prestare troppo il fianco alla comodità e alla semplicità d'uso. E sono suggerimenti utili per sensibilizzare anche chi è meno avvezzo al mezzo tecnologico o semplicemente non conosce i rischi ad esso associati.