
La nascita dei codici QR risale al 1994 ad opera di una società consociata di Toyota.
Inizialmente utilizzati nel settore produttivo automobilistico, questi piccoli quadratini bianchi e neri sono oggi alla portata di tutti, anche grazie alla loro facilità d’uso.
Ad accelerarne la diffusione ha senza dubbio contribuito l’attuale pandemia di Covid-19, che ha costretto le persone ad utilizzare dei sistemi di
- pagamento
- e lettura delle informazioni
che non richiedessero un contatto ravvicinato tra soggetti.
In realtà, i codici QR erano già parte della realtà quotidiana delle persone: basti pensare ad esempio ai menù di ristoranti e pub, o a quelli presenti sulle confezioni dei prodotti.
In periodo di pandemia, il loro utilizzo si è diffuso anche al settore dei pagamenti, tanto che un gran numero di persone ha iniziato ad utilizzare i cosiddetti pagamenti contactless tramite QR code in maniera abituale.
Come accade per tutte le innovazioni tecnologiche che raggiungono una massa critica considerevole, anche i QR code sono ben presto diventati strumenti nelle mani dei i criminali informatici.
Gli obiettivi?
- invadere la privacy degli utenti
- o installare sui loro dispositivi software potenzialmente dannosi.
In questo articolo approfondiremo un aspetto poco conosciuto dei QR Code: ovvero la loro potenziale pericolosità per la sicurezza informatica degli utenti.
Sommario degli argomenti
I QR code, in italiano codici QR (Quick Response), possono essere considerati come una sorta di evoluzione dei tradizionali codici a barre.
Ciò che sostanzialmente distingue i codici a barre tradizionali dai QR code è la presenza di informazioni alfanumeriche.
Se da un lato, infatti, i codici a barre contengono esclusivamente informazioni sotto forma di numeri, dall’altro i codici QR contengono informazioni alfanumeriche, vere e proprie stringhe di caratteri e numeri di lunghezza variabile.
Si tratta infatti di codici che contengono informazioni leggibili soltanto attraverso la scansione mediante apposti lettori.
Se fino a poco tempo fa i lettori di codici QR erano dispositivi scanner progettati ad hoc e alla portata di un numero ristretto di persone, oggi anche smartphone e i tablet possono essere comodamente utilizzati per la lettura QR.
Rapportando l’utilizzo dei codici QR alla vita quotidiana è possibile spiegarne il funzionamento (lato utente) in pochissimi passaggi:
- si inquadra il QR Code con il lettore integrato nello smartphone,
- il lettore effettua la scansione
- e in automatico apre una pagina web associata a quel codice o effettua il download di un’applicazione.
Fin qui, abbiamo riscontrato il funzionamento generale di un Codice QR. Ma cosa accade quando in questo meccanismo subentra l’azione di un pirata informatico?. Di seguito ne illustreremo le dinamiche.
Come già accennato, ciò che avviene scansionando un Codice QR generalmente consiste nel
- diretto reinvio all’ URL di un sito web
- download di un’applicazione
- o nella finalizzazione di un pagamento o di un processo di autenticazione
Questi i passaggi cruciali entro cui si innestano le azioni fraudolente dei pirati informatici.
I QR Code, infatti, di per sé non hanno alcunché di malevolo: sarà il percorso a cui rimandano a determinare la legittimità o meno del codice stesso.
I metodi attraverso i quali i criminali informatici possono compromettere i codici QR sono molteplici, tra quesi
- QR code con redirect a link infetti, attraverso cui l’utente potrebbe scaricare software malevoli
- QR code phishing
- e QR code malware, a causa dei quali il dispositivo potrebbe aggiungere degli eventi al calendario, inviare dei messaggi di testo o delle vere e proprie e-mail, aggiungere contatti in rubrica ed effettuare delle chiamate, condividere la propria posizione oppure creare degli account sui social network.
Per creare questi codici QR dannosi i criminali informatici utilizzano dei malicious QR code generator, ovvero appositi generatori di malicious QR code.
Comprendiamo meglio il concetto approfondendo quello che in gergo viene definito come Qrishing.
E’ stata un’indagine dell’FBI a portare alla ribalta il fenomeno del QR Code phishing (abbreviato appunto in Qrishing).
In sostanza, non potendo hackerare direttamente il codice Quick Response, i cybercriminali hanno adottato varie tecniche di social engineering per mettere in atto dei veri e propri hijacking (dirottamenti) verso siti o app fraudolente
Le tecniche usate possono essere le più disparate, ma la sostanza rimane pressoché invariata:
- un ignaro utente scansiona un Codice QR che crede legittimo
- la sua attività di navigazione viene dirottata verso siti o applicazioni creati ad hoc dall’hacker
- a questo punto viene visualizzata una landing page del tutto simile al portale ufficiale su cui l’utente sarebbe voluto approdare
- infine, data l’apparente legittimità del sito, viene messo in atto un vero e proprio attacco di phishing che induce l’utente ad immettere credenziali e dati sensibili
Ma quali sono le modalità attraverso cui tutto ciò viene materialmente messo in atto? Di seguito una breve carrellata dei casi esemplari
Manomissione fisica del QR Code
Al giorno d’oggi, non è inusuale trovare QR Code presenti in negozi, esercizi pubblici o all’aperto.
A trarre in inganno è il falso senso di sicurezza che il luogo induce nell’utente, che spesso non ci pensa su due volte prima di scansionare.
Ciò che potrebbe accadere, soprattutto nei luoghi pubblici, è che un hacker possa fisicamente apporre sul codice QR originale un QR Code adesivo che reindirizza a un sito web fraudolento.
Un episodio emblematico in questo senso è accaduto ad Austin, in Texas, nel gennaio del 2022.
Qui gli utenti avevano preso l’abitudine di pagare il parchimetro scannerizzando i QR Code presenti sulle colonnine, totalmente ignari del fatto che i pagamenti venissero poi dirottati verso il conto bancari difficilmente rintracciabili e riconducibili a un gruppo di criminali informatici.
In sostanza, i codici QR scansionati non erano quelli della società facente capo al servizio, ma altri codici truffaldini apposti da criminali informatici al fine di
- deviare le operazioni di pagamento verso un sito web di phishing
- memorizzare le informazioni finanziarie dell’utente
- ed infine estorcere la somma di denaro
Il portale su cui veniva dirottato il traffico, infatti, risultava associato al dominio passportlab.xyz: indizio cbe avrebbe dovuto far insospettire fin da subito le vittime.
E-mail di phishing
- tracciare un pacco in giacenza
- o finalizzare un’operazione finanziaria
In realtà, come nel caso precedente, compiendo tale operazione saranno poi gli hacker a intascare bonifici o a impadronirsi delle credenziali della vittima.
Avendo constatato come attraverso dei normalissimi QR Code si possa diventare facilmente vittima di un attacco informatico, è opportuno illustrare quali buone pratiche adottare per non verdersi espropriati i propri dati finanziari o le proprie credenziali.
Esistono alcuni accorgimenti che gli utenti stessi possono mettere in pratica in modo autonomo per proteggersi da tentativi di QR code hack e QR code phishing, ma in linea di massima è sempre consigliabile rivolgersi a realtà specializzate in grado di fornire gli strumenti essenziali per respingere queste minacce.
Da parte sua, un utente può ad esempio
- assicurarsi di non scansionare un codice QR da fonti non attendibili
- controllare il link associato al codice QR: spesso l’URL cui rimanda il codice non è visualizzato per intero soprattutto sui dispositivi mobili. Sarebbe opportuno però, prima di approdare sul sito, prenderne visione per intero, così da constatare se c’è qualcosa di sospetto (come il nome di dominio e la presenza del certificato SSL)
- l’utilizzo di applicazioni progettate per analizzare i codici QR e individuare elementi potenzialmente dannosi.
Cyberment
Cyberment è un’azienda specializzata in consulenza di sicurezza informatica da oltre 20 anni.
Il nostro red team è composto da hacker etici e esperti specialisti in cybersecurity.
Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.
Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica.
Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.
Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!
- Autore articolo
- Gli ultimi articoli

Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.