Una scansione di troppo: ecco perché devi essere vigile con i codici QR
Navigare in sicurezza
Come sei finito su questa pagina? Hai forse scansionato un codice QR (Quick Response Code) che hai visto da qualche parte? Fortunatamente, in questo caso non ci sono state conseguenze gravi per te. Tuttavia, dovresti riflettere attentamente su ciò che scansioni con il tuo cellulare. L'esempio seguente mostra perché.
Una scansione di troppo: ecco perché devi essere vigile con i codici QR
Come sei finito su questa pagina? Hai forse scansionato un codice QR (Quick Response Code) che hai visto da qualche parte? Fortunatamente, in questo caso non ci sono state conseguenze gravi per te. Tuttavia, dovresti riflettere attentamente su ciò che scansioni con il tuo cellulare. L'esempio seguente mostra perché.
In realtà, volevi solo fare un salto al supermercato per comprare della farina. Ovviamente, solo quando ti trovi davanti al parchimetro ti accorgi che il portafoglio è rimasto a casa sul divano. Nessun problema, pensi, il parchimetro ha un codice QR. Il cellulare viene estratto rapidamente, il codice viene scansionato e il parcheggio viene pagato subito. Anche al supermercato dimenticare il portafoglio non è un problema, grazie a Twint & Co. Tiri fuori il telefono, scansioni e paghi.
Mentre torni alla macchina, noti un poster di una band che ti interessa. Su di esso c'è un codice QR che dovrebbe portarti al negozio dei biglietti. Tiri fuori il telefono, scansioni... e te ne penti. Ti rendi conto troppo tardi che il codice QR era solo un adesivo e non era parte del poster. Invece del negozio dei biglietti, il codice ti ha portato su un sito di phishing fraudolento.
Cosa può andare storto
I codici QR sono come le uova di Pasqua: non sai mai cosa ti aspetta. A differenza dei tentativi di phishing tradizionali, in cui i link falsi sono spesso riconoscibili, il contenuto di un codice QR è invisibile all'occhio umano.
Poiché anche i criminali informatici hanno scoperto i vantaggi dei codici QR, la scansione di questi codici non è sempre è sinonimo di divertimento, giochi ed eccitazione, ma di una brutta sorpresa. I codici QR possono portare a un sito web fraudolento attraverso il quale i cybercriminali vogliono rubare i dati delle loro vittime. Tuttavia, un codice QR potrebbe anche contenere un link per il download di un programma malware, informazioni di login per hotspot Wi-Fi di dubbia provenienza o delle istruzioni per trasmettere i dati sulla posizione. Purtroppo, non ci sono limiti alla fanstasia dei criminali informatici.
Quando i codici QR vengono utilizzati per ingannare deliberatamente le vittime, si parla di QR phishing, QR code phishing, quishing o QRishing.
In breve
Invece di portarti al sito web desiderato, un codice QR può anche ...
- Indirizzarti a un sito web di phishing,
- contenere un link per il download di un programma dannoso,
- trasmettere le informazioni di accesso a hotspot WLAN di dubbia provenienza,
- o inviare istruzioni per trasmettere i dati sulla posizione.
Come mi riguarda
I codici QR sono entrati da tempo nella nostra vita quotidiana. Per molti, scansionare i codici è diventata una routine ed è proprio questo che i cybercriminali stanno sfruttando. Non appena qualcosa diventa di uso comune, le persone smettono di porsi domande. Ecco perché, ad esempio, i truffatori inviano fatture false con codici QR manipolati. Per farlo, inoltre, controllano gli account di posta elettronica che sono già stati violati per imitare le fatture autentiche e sostituire l’IBAN con il proprio. Nel frattempo, i cybercriminali hanno già sviluppato ulteriormente questa truffa del QR: creano i codici QR con caratteri speciali (ASCII/Unicode); questo può impedire ai programmi di sicurezza di riconoscere i codici QR come tali.
Tuttavia, il pericolo non si nasconde solo nella casella di posta elettronica, ma anche nel mondo reale. Codici QR falsi e manipolati sono già stati avvistati su parchimetri, bancomat, stazioni di servizio, vetrine di negozi e ristoranti, anche in Svizzera. Per un truffatore non è difficile stampare un codice QR falso e incollarlo su quello già esistente, oppure aggiungere un codice QR dove prima non c'era.
Come proteggersi dai pericoli del QR
Non è necessario acquistare costosi software di sicurezza informatica per proteggersi dai potenziali pericoli che si nascondono dietro i codici QR. È invece necessaria una vigilanza costante:
- Ho davvero bisogno di scansionare questo codice QR? Non puoi sapere con certezza cosa si nasconde dietro un codice QR, quindi dovresti pensarci due volte prima di scansionarlo. Se non è chiaro chi sia l'autore del codice QR, non correre rischi inutili ed evita di scansionarlo.
- Il codice QR è stato bloccato o manipolato? Prima di scansionare un codice, dovresti controllarlo. Potrebbe trattarsi di un adesivo che in realtà non dovrebbe essere lì. Se hai dei dubbi, evita di scansionare il codice.
- Il codice QR porta al sito web desiderato? Se vuoi comunque scansionare un codice QR, è consigliabile utilizzare l'app della fotocamera standard di Android o iPhone. Queste applicazioni affidabili mostrano innanzitutto su quale sito web il codice vuole indirizzarti o quale azione vuole eseguire. In questo modo, non accade nulla finché l'utente non controlla e conferma l'azione. Scansiona, pensa, clicca!
- Il sito web su cui sono approdato è davvero affidabile? Anche se il codice QR e il sito web sembrano affidabili, devi rimanere vigile. Sempre più codici QR incorporano un breve URL. Questo reindirizza al sito web vero e proprio. Inoltre, dato che le truffe stanno diventando sempre più sofisticate, devi stare in guardia anche sui siti web che sembrano affidabili (maggiori informazioni nella sezione "Ulteriori informazioni").
Ulteriori informazioni
- BACS: codici QR - applicazioni e rischi: https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-private/aktuelle-themen/qr-code-anwendungen-und-risiken.html
- SwissCybersecurity.net: Codici QR da blocchi ASCII/Unicode: https://www.swisscybersecurity.net/news/2024-10-11/barracuda-identifiziert-neue-qr-phishing-methoden
- SwissCybersecurity.net: Truffatori falsificano i codici QR delle macchinette per i biglietti dei parcheggi: https://www.swisscybersecurity.net/news/2024-07-11/gauner-faelschen-qr-codes-auf-parkautomaten
- E-banking ma sicuro: codice a risposta rapida (QR code): https://www.ebas.ch/quick-response-code-qr-code/
- E-banking ma sicuro: QR-bill: https://www.ebas.ch/qr-rechnung/
- iBarry: Come veniamo ingannati nel mondo digitale: https://www.ibarry.ch/de/risiken-im-internet/social-engineering-fake-news/
- SKP: informazioni sul phishing e sulla situazione legale in Svizzera: https://www.skppsc.ch/de/themen/internet/phishing/
- SwissCybersecurity.net: Come riconoscere il phishing: https://www.swisscybersecurity.net/cybersecurity/2022-03-30/wie-sie-phishing-erkennen/0lt0
- SwissCybersecurity.net: Come riconoscere i falsi negozi online: https://www.swisscybersecurity.net/news/2023-08-09/wie-man-fake-onlineshops-erkennt/0lt0