qr code dannosi

La nascita dei codici QR risale al 1994 ad opera di una società consociata di Toyota.

Inizialmente utilizzati nel settore produttivo automobilistico, questi piccoli  quadratini bianchi e neri sono oggi alla portata di tutti, anche grazie alla loro facilità d’uso.

Ad accelerarne la diffusione ha senza dubbio contribuito l’attuale pandemia di Covid-19, che ha costretto le persone ad utilizzare dei sistemi di

  • pagamento
  • e lettura delle informazioni

che non richiedessero un contatto ravvicinato tra soggetti.

In realtà, i codici QR erano già parte della realtà quotidiana delle persone: basti pensare ad esempio ai menù di ristoranti e pub, o a quelli presenti sulle confezioni dei prodotti.

In periodo di pandemia, il loro utilizzo si è diffuso anche al settore dei pagamenti, tanto che un gran numero di persone ha iniziato ad utilizzare i cosiddetti pagamenti contactless tramite QR code in maniera abituale.

Come accade per tutte le innovazioni tecnologiche che raggiungono una massa critica considerevole, anche i QR code sono ben presto diventati strumenti nelle mani dei i criminali informatici.

Gli obiettivi?

In questo articolo approfondiremo un aspetto poco conosciuto dei QR Code: ovvero la loro potenziale pericolosità per la sicurezza informatica degli utenti.

Sommario degli argomenti

Che cosa sono i QR code

I QR code, in italiano codici QR (Quick Response), possono essere considerati come una sorta di evoluzione dei tradizionali codici a barre.

Ciò che sostanzialmente distingue i codici a barre tradizionali dai QR code è la presenza di informazioni alfanumeriche.
Se da un lato, infatti, i codici a barre contengono esclusivamente informazioni sotto forma di numeri, dall’altro i codici QR contengono informazioni alfanumeriche, vere e proprie stringhe di caratteri e numeri di lunghezza variabile.

Si tratta infatti di codici che contengono informazioni leggibili soltanto attraverso la scansione mediante apposti lettori.

Se fino a poco tempo fa i lettori di codici QR erano dispositivi scanner progettati ad hoc e alla portata di un numero ristretto di persone, oggi anche smartphone e i tablet possono essere comodamente utilizzati per la lettura QR.

Rapportando l’utilizzo dei codici QR alla vita quotidiana è possibile spiegarne il funzionamento (lato utente) in pochissimi passaggi:

  • si inquadra il QR Code con il lettore integrato nello smartphone,
  • il lettore effettua la scansione
  • e in automatico apre una pagina web associata a quel codice o effettua il download di un’applicazione.

Fin qui, abbiamo riscontrato il funzionamento generale di un Codice QR. Ma cosa accade quando in questo meccanismo subentra l’azione di un pirata informatico?. Di seguito ne illustreremo le dinamiche.

Che cosa si intende per QR code dannosi

Come già accennato, ciò che avviene scansionando un  Codice QR generalmente consiste nel

Questi i passaggi cruciali entro cui si innestano le azioni fraudolente dei pirati informatici.

QR Code, infatti, di per sé non hanno alcunché di malevolo: sarà il percorso a cui rimandano a determinare la legittimità o meno del codice stesso.

I metodi attraverso i quali i criminali informatici possono compromettere i codici QR sono molteplici, tra quesi

  • QR code con redirect a link infetti, attraverso cui l’utente potrebbe scaricare software malevoli
  • QR code phishing
  • e QR code malware, a causa dei quali il dispositivo potrebbe aggiungere degli eventi al calendario, inviare dei messaggi di testo o delle vere e proprie e-mail, aggiungere contatti in rubrica ed effettuare delle chiamate, condividere la propria posizione oppure creare degli account sui social network.

Per creare questi codici QR dannosi i criminali informatici utilizzano dei malicious QR code generator, ovvero appositi generatori di malicious QR code.

Qrishing: un caso esemplare di QR Code dannosi

Comprendiamo meglio il concetto approfondendo quello che in gergo viene definito come Qrishing.

E’ stata un’indagine dell’FBI a portare alla ribalta il fenomeno del QR Code phishing (abbreviato appunto in  Qrishing).

In sostanza, non potendo hackerare direttamente il codice Quick Response, i cybercriminali hanno adottato varie tecniche di social engineering per mettere in atto dei veri e propri hijacking (dirottamenti) verso siti o app fraudolente

Le tecniche usate possono essere le più disparate, ma la sostanza rimane pressoché invariata:

    1. un ignaro utente scansiona un Codice QR che crede legittimo
    2. la sua attività di navigazione viene dirottata verso siti o applicazioni creati ad hoc dall’hacker
    3. a questo punto viene visualizzata una landing page del tutto simile al portale ufficiale su cui l’utente sarebbe voluto approdare
    4. infine, data l’apparente legittimità del sito, viene messo in atto un vero e proprio attacco di phishing che induce l’utente ad immettere credenziali e dati sensibili 

Ma quali sono le modalità attraverso cui tutto ciò viene materialmente messo in atto? Di seguito una breve carrellata dei casi esemplari

Manomissione fisica del QR Code

Al giorno d’oggi, non è inusuale trovare QR Code presenti in negozi, esercizi pubblici o all’aperto.

A trarre in inganno è il falso senso di sicurezza che il luogo induce nell’utente, che spesso non ci pensa su due volte prima di scansionare.

Ciò che potrebbe accadere, soprattutto nei luoghi pubblici, è che un hacker possa fisicamente apporre sul codice QR originale un QR Code adesivo che reindirizza a un sito web fraudolento.

Un episodio emblematico in questo senso è accaduto ad Austin, in Texas, nel gennaio del 2022.

Qui gli utenti avevano preso l’abitudine di pagare il parchimetro scannerizzando i QR Code presenti sulle colonnine, totalmente ignari del fatto che i pagamenti venissero poi dirottati verso il conto bancari difficilmente rintracciabili e riconducibili a un gruppo di criminali informatici.

In sostanza, i codici QR  scansionati non erano quelli della società facente capo al servizio, ma altri codici truffaldini apposti da criminali informatici al fine di

  • deviare le operazioni di pagamento verso un sito web di phishing
  • memorizzare le informazioni finanziarie dell’utente
  • ed infine estorcere la somma di denaro

Il portale su cui veniva dirottato il traffico, infatti, risultava associato al dominio passportlab.xyz: indizio cbe avrebbe dovuto far insospettire fin da subito le vittime.

E-mail di phishing

Il phishing del QR Code può essere perpetrato anche a mezzo posta elettronica.
Attraverso e-mail perfettamente intestate e spacciate come provenienti da un mittente attendibile – quale ad esempio il proprio istituto di credito, un corriere o il proprio ente aziendale – si invita l’utente a scansionare il codice QR sottostante il testo per
  • tracciare un pacco in giacenza
  • o finalizzare un’operazione finanziaria

In realtà, come nel caso precedente, compiendo tale operazione saranno poi gli hacker a intascare bonifici o a impadronirsi delle credenziali della vittima.

Come proteggersi dai QR code dannosi

Avendo constatato come attraverso dei normalissimi  QR Code si possa diventare facilmente vittima di un attacco informatico, è opportuno illustrare quali buone pratiche adottare per non verdersi espropriati i propri dati finanziari o le proprie credenziali.

Esistono alcuni accorgimenti che gli utenti stessi possono mettere in pratica in modo autonomo per proteggersi da tentativi di QR code hack e QR code phishing, ma in linea di massima è sempre consigliabile rivolgersi a realtà specializzate in grado di fornire gli strumenti essenziali per respingere queste minacce.

Da parte sua, un utente può ad esempio

  • assicurarsi di non scansionare un codice QR da fonti non attendibili
  • controllare il link associato al codice QR: spesso l’URL cui rimanda il codice non è visualizzato per intero soprattutto sui dispositivi mobili. Sarebbe opportuno però, prima di approdare sul sito, prenderne visione per intero, così da constatare se c’è qualcosa di sospetto (come il nome di dominio e la presenza del certificato SSL)
  • l’utilizzo di applicazioni progettate per analizzare i codici QR e individuare elementi potenzialmente dannosi.

Cyberment

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica da oltre 20 anni.

Il nostro red team è composto da hacker etici e esperti specialisti in cybersecurity.

Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.

Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica.
Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.

Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!