Il QR Code potrebbe diventare il nuovo vettore di attacco preferenziale per i cybercriminali. Lo rileva un’analisi sull’evoluzione degli attacchi phishing realizzata da Innovery, multinazionale italiana specializzata nel comparto cybersecurity.
Il 2020 è stato un anno di grandi emergenze per il settore cybersecurity, con un incremento del 40% di attacchi informatici alle imprese rispetto al 2019 – secondo i dati dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano – complice la diffusione del remote working. In questo contesto il vettore previlegiato per i cyber criminali è stata la mail, il cosiddetto phishing, che ha riguardato circa l’80% dei tentativi di intromissioni.
Nel 2021 i cybercriminali potrebbero privilegiare un nuovo canale, ossia il QR Code. I codici QR stanno avendo una diffusione capillare, specialmente a seguito della pandemia. Secondo un sondaggio recente di MobileIron, l’86% degli intervistati ha scansionato un codice QR nel corso del 2020 e oltre la metà (54%) ha riferito un aumento nell’uso di tali codici dall’inizio della pandemia.
“L’aumento dell’utilizzo di dispositivi mobile per svolgere molte delle nostre attività quotidiane ci espone a nuovi rischi, e la scarsa consapevolezza sulle possibili minacce che la scansione di un QR Code può veicolare, è una preoccupazione sempre più impellente – spiega Massimo Grandesso, Cybersecurity Manager di Innovery -I QR code inviati via email riescono ad eludere i normali sistemi di antiphishing: il Qishing, così si chiama questa tecnica, funziona esattamente come cliccare su un link, solo che il link non è visibile in quanto codificato nel QR code, e si dovrebbero utilizzare le stesse cautele che si usano per i link.”
Oggi i QR Code vengono impiegati nei contesti più vari: in bar e ristoranti per i menu, limitando i contatti fisici, per l’accesso a eventi e luoghi pubblici, per la prenotazione di visite mediche, per ritirare prescrizioni, per la fatturazione elettronica, per sostituire i biglietti cartacei e per ultimo lo stesso Green Pass, sui cui persino il garante della privacy si è espresso recentemente esortando i cittadini alla massima prudenza e a evitare di esibire pubblicamente il codice del Green Pass.
Grazie alla versatilità e velocità con cui si possono trasmettere una serie di informazioni, l’utilizzo del QR Code è particolarmente apprezzato dagli utenti: il 46% degli intervistati ritiene di sentirsi sicuro ad utilizzarlo in tali contesti. Non a caso si è passati da un utilizzo del 9% nel 2020 al 14% nel 2021.
La scansione di un codice malevole può infatti indirizzare automaticamente i cittadini ignari verso un URL di phishing, dove vengono richieste le credenziali dell’utente per prendere il controllo dei suoi account di posta elettronica o dei social media, per esempio. Potrebbe anche condurre gli utenti a un app store illegittimo, dove scaricare inconsapevolmente app dannose contenenti virus, trojan o altro tipo di malware che installati inconsapevolmente sul proprio dispositivo espongono gli utenti al furto di dati, alla violazione della privacy.
Il caso Green Pass
Nel caso del Green Pass, come affermato dal Garante, parliamo di una quantità di dati personali: nome, data e luogo di nascita, dosi di vaccino effettuate ma anche eventuali tamponi rapidi e molecolari, sono tutte informazioni che possono essere utilizzate a nostro svantaggio come truffe mirate, profilazione commerciale o addirittura arrivare al cosiddetto “furto di identità”.
“Come per il caso delle mail phishing, anche di fronte a questa nuova tipologia di attacchi, non ad alta complessità, la soluzione più semplice e immediata è quella di intervenire sul fattore umano per mitigare i rischi, sensibilizzando i dipendenti e in generali i cittadini attraverso corsi di formazione e campagne di comunicazione su nuove tecniche di attacco a cui possiamo andare in contro – prosegue Grandesso – “Esistono molte app sicure per la scansione dei QR Code che permettono agli utenti di visionare in anteprima i siti web, inoltre è sempre meglio utilizzare fonti affidabili per scaricare le applicazioni, come App Store di Apple o Play Store di Google.”
Un’attenzione particolare deve essere sempre rivolta alle app utilizzate, le transazioni di Bitcoin tra cittadini vengono effettuate scansionando un QR code, e nel solo mese di marzo 2020, utilizzando app di scansione malevoli, sono stati sottratti 45.000 dollari in bitcoin.
Come per la mail di phishing, un’attenzione particolare è richiesta quando si scansionano QR Code con dispositivi di mobile aziendali o privati, spesso meno protetti rispetto alla classica postazione di lavoro. In questi casi la probabilità di atterrare su siti ostili o scaricare applicazioni malevoli, in grado di eludere qualsiasi sistema di sicurezza dell’infrastruttura, è molto elevato.
Come limitare i rischi
Tra i consigli per limitari i rischi nell’utilizzo del QR Code si ricorda:
– Non condividere QR con i propri dati se non necessario;
– Evitare sempre l’apertura automatica di una pagina dal QR Code, visualizzare prima con attenzione l’indirizzo Url su quale si atterrerà;
– Accertarsi sempre che il QR Code arrivi da una fonte accreditata, e, quando si tratta di codici stampati, come ad esempio su un menu, assicurarsi che siano gli originali e non siano stati incollati sopra dei doppioni;
– Se il proprio device non dispone di un lettore QR Integrato, ricordarti sempre di scaricare app qualificate;
– Evitare di scansionare QR code dai canali social, o arrivati vi email se non attesi