QR code dannosi, è allarme

La nascita dei codici QR risale al 1994 ad opera di una società consociata di Toyota.

Inizialmente utilizzati nel settore produttivo automobilistico, questi piccoli quadratini bianchi e neri sono oggi alla portata di tutti, anche grazie alla loro facilità d’uso.

Ad accelerarne la diffusione ha senza dubbio contribuito l’attuale pandemia di Covid-19, che ha costretto le persone ad utilizzare dei sistemi di

pagamento
e lettura delle informazioni

che non richiedessero un contatto ravvicinato tra soggetti.

In realtà, i codici QR erano già parte della realtà quotidiana delle persone: basti pensare ad esempio ai menù di ristoranti e pub, o a quelli presenti sulle confezioni dei prodotti.

In periodo di pandemia, il loro utilizzo si è diffuso anche al settore dei pagamenti, tanto che un gran numero di persone ha iniziato ad utilizzare i cosiddetti pagamenti contactless tramite QR code in maniera abituale.

Come accade per tutte le innovazioni tecnologiche che raggiungono una massa critica considerevole, anche i QR code sono ben presto diventati strumenti nelle mani dei i criminali informatici.

Gli obiettivi?

invadere la privacy degli utenti
o installare sui loro dispositivi software potenzialmente dannosi.

In questo articolo approfondiremo un aspetto poco conosciuto dei QR Code: ovvero la loro potenziale pericolosità per la sicurezza informatica degli utenti.

Sommario degli argomenti

Cosa sono i QR code
Che cosa si intende per QR code dannosi
Qrishing: un caso esemplare di QR Code dannosi
Come proteggersi dai QR code dannosi
Cyberment

Che cosa sono i QR code

I QR code, in italiano codici QR (Quick Response), possono essere considerati come una sorta di evoluzione dei tradizionali codici a barre.

Ciò che sostanzialmente distingue i codici a barre tradizionali dai QR code è la presenza di informazioni alfanumeriche.
Se da un lato, infatti, i codici a barre contengono esclusivamente informazioni sotto forma di numeri, dall’altro i codici QR contengono informazioni alfanumeriche, vere e proprie stringhe di caratteri e numeri di lunghezza variabile.

Si tratta infatti di codici che contengono informazioni leggibili soltanto attraverso la scansione mediante apposti lettori.

Se fino a poco tempo fa i lettori di codici QR erano dispositivi scanner progettati ad hoc e alla portata di un numero ristretto di persone, oggi anche smartphone e i tablet possono essere comodamente utilizzati per la lettura QR.

Rapportando l’utilizzo dei codici QR alla vita quotidiana è possibile spiegarne il funzionamento (lato utente) in pochissimi passaggi:

si inquadra il QR Code con il lettore integrato nello smartphone,
il lettore effettua la scansione
e in automatico apre una pagina web associata a quel codice o effettua il download di un’applicazione.

Fin qui, abbiamo riscontrato il funzionamento generale di un Codice QR. Ma cosa accade quando in questo meccanismo subentra l’azione di un pirata informatico?. Di seguito ne illustreremo le dinamiche.

Che cosa si intende per QR code dannosi

Come già accennato, ciò che avviene scansionando un Codice QR generalmente consiste nel

diretto reinvio all’ URL di un sito web
download di un’applicazione
o nella finalizzazione di un pagamento o di un processo di autenticazione

Questi i passaggi cruciali entro cui si innestano le azioni fraudolente dei pirati informatici.

I QR Code, infatti, di per sé non hanno alcunché di malevolo: sarà il percorso a cui rimandano a determinare la legittimità o meno del codice stesso.

I metodi attraverso i quali i criminali informatici possono compromettere i codici QR sono molteplici, tra quesi

QR code con redirect a link infetti, attraverso cui l’utente potrebbe scaricare software malevoli
QR code phishing
e QR code malware, a causa dei quali il dispositivo potrebbe aggiungere degli eventi al calendario, inviare dei messaggi di testo o delle vere e proprie e-mail, aggiungere contatti in rubrica ed effettuare delle chiamate, condividere la propria posizione oppure creare degli account sui social network.

Per creare questi codici QR dannosi i criminali informatici utilizzano dei malicious QR code generator, ovvero appositi generatori di malicious QR code.

Qrishing: un caso esemplare di QR Code dannosi

Comprendiamo meglio il concetto approfondendo quello che in gergo viene definito come Qrishing.

E’ stata un’indagine dell’FBI a portare alla ribalta il fenomeno del QR Code phishing (abbreviato appunto in Qrishing).

In sostanza, non potendo hackerare direttamente il codice Quick Response, i cybercriminali hanno adottato varie tecniche di social engineering per mettere in atto dei veri e propri hijacking (dirottamenti) verso siti o app fraudolente

Le tecniche usate possono essere le più disparate, ma la sostanza rimane pressoché invariata:

1. un ignaro utente scansiona un Codice QR che crede legittimo
2. la sua attività di navigazione viene dirottata verso siti o applicazioni creati ad hoc dall’hacker
3. a questo punto viene visualizzata una landing page del tutto simile al portale ufficiale su cui l’utente sarebbe voluto approdare
4. infine, data l’apparente legittimità del sito, viene messo in atto un vero e proprio attacco di phishing che induce l’utente ad immettere credenziali e dati sensibili

Ma quali sono le modalità attraverso cui tutto ciò viene materialmente messo in atto? Di seguito una breve carrellata dei casi esemplari

Manomissione fisica del QR Code

Al giorno d’oggi, non è inusuale trovare QR Code presenti in negozi, esercizi pubblici o all’aperto.

A trarre in inganno è il falso senso di sicurezza che il luogo induce nell’utente, che spesso non ci pensa su due volte prima di scansionare.

Ciò che potrebbe accadere, soprattutto nei luoghi pubblici, è che un hacker possa fisicamente apporre sul codice QR originale un QR Code adesivo che reindirizza a un sito web fraudolento.

Un episodio emblematico in questo senso è accaduto ad Austin, in Texas, nel gennaio del 2022.

Qui gli utenti avevano preso l’abitudine di pagare il parchimetro scannerizzando i QR Code presenti sulle colonnine, totalmente ignari del fatto che i pagamenti venissero poi dirottati verso il conto bancari difficilmente rintracciabili e riconducibili a un gruppo di criminali informatici.

In sostanza, i codici QR scansionati non erano quelli della società facente capo al servizio, ma altri codici truffaldini apposti da criminali informatici al fine di

deviare le operazioni di pagamento verso un sito web di phishing
memorizzare le informazioni finanziarie dell’utente
ed infine estorcere la somma di denaro

Il portale su cui veniva dirottato il traffico, infatti, risultava associato al dominio passportlab.xyz: indizio cbe avrebbe dovuto far insospettire fin da subito le vittime.

E-mail di phishing

Il phishing del QR Code può essere perpetrato anche a mezzo posta elettronica.

Attraverso e-mail perfettamente intestate e spacciate come provenienti da un mittente attendibile – quale ad esempio il proprio istituto di credito, un corriere o il proprio ente aziendale – si invita l’utente a scansionare il codice QR sottostante il testo per

tracciare un pacco in giacenza
o finalizzare un’operazione finanziaria

In realtà, come nel caso precedente, compiendo tale operazione saranno poi gli hacker a intascare bonifici o a impadronirsi delle credenziali della vittima.

Come proteggersi dai QR code dannosi

Avendo constatato come attraverso dei normalissimi QR Code si possa diventare facilmente vittima di un attacco informatico, è opportuno illustrare quali buone pratiche adottare per non verdersi espropriati i propri dati finanziari o le proprie credenziali.

Esistono alcuni accorgimenti che gli utenti stessi possono mettere in pratica in modo autonomo per proteggersi da tentativi di QR code hack e QR code phishing, ma in linea di massima è sempre consigliabile rivolgersi a realtà specializzate in grado di fornire gli strumenti essenziali per respingere queste minacce.

Da parte sua, un utente può ad esempio

assicurarsi di non scansionare un codice QR da fonti non attendibili
controllare il link associato al codice QR: spesso l’URL cui rimanda il codice non è visualizzato per intero soprattutto sui dispositivi mobili. Sarebbe opportuno però, prima di approdare sul sito, prenderne visione per intero, così da constatare se c’è qualcosa di sospetto (come il nome di dominio e la presenza del certificato SSL)
l’utilizzo di applicazioni progettate per analizzare i codici QR e individuare elementi potenzialmente dannosi.

Cyberment

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica da oltre 20 anni.

Il nostro red team è composto da hacker etici e esperti specialisti in cybersecurity.

Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.

Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica.
Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.

Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!

Autore articolo
Gli ultimi articoli

Filomena Cignarale

Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.