I nostri dispositivi mobili ci accompagnano ovunque e possiamo usarli per fare quasi tutto. Per le aziende, l'accessibilità dei dispositivi mobili ha anche reso più facile creare modi più interattivi per introdurre nuovi prodotti e servizi, migliorando al contempo l'esperienza in diversi settori. I codici a risposta rapida (QR) sono un buon esempio di questi miglioramenti, aiutando i dispositivi mobili a navigare rapidamente verso le pagine web o installare nuovi software semplicemente scansionando un'immagine.
Tuttavia, le organizzazioni legittime non sono le uniche a generare codici QR per maggiore praticità. Anche i criminali informatici sfruttano i codici QR, insieme alla crescente dipendenza dalla tecnologia near-field (NFC), per lanciare attacchi sofisticati contro vittime ignare.
La Federal Trade Commission (FTC) ha segnalato una tendenza crescente nelle nuove strategie di phishing, in cui i truffatori utilizzano codici QR apparentemente legittimi per inviare gli utenti a siti web e applicazioni dannose per compiere vari attacchi informatici. Denominate "quishing", queste tecniche possono essere molto efficaci, soprattutto quando i codici generati vengono pubblicati in luoghi credibili, come prodotti in vendita, edifici commerciali e luoghi di marketing di marca come riviste o volantini.
Il motivo per cui gli attacchi di quishing sono diventati così efficaci ha a che fare con l'impulsività associata alla scansione dei codici QR dovuta alla comodità dell'utente, alla facilità con cui i codici possono essere generati e all'anonimato che forniscono.
Chiunque può creare un codice QR online utilizzando una serie di strumenti gratuiti disponibili. Poiché tutti i codici QR hanno un design simile, non si può sapere dove un codice QR porterà finché non viene scansionato.
I criminali informatici in genere generano codici per reindirizzare a siti web dannosi dove tentano di installare script di malware, oppure possono provare a richiedere autorizzazioni aggiuntive sul dispositivo che possono essere salvate per un uso successivo. Questi codici possono quindi essere stampati e incollati direttamente sui codici QR legittimi, per farli sembrare provenienti da una fonte attendibile.
Molte persone non pensano due volte prima di scansionare questi codici QR e spesso accettano i messaggi di verifica di sicurezza che appaiono sui loro dispositivi per accedere più facilmente all'applicazione o ai servizi.
Quando i codici QR sono iniziati ad apparire, poche persone sapevano cosa fossero o anche solo come usarli. Tuttavia, poiché la maggior parte dei dispositivi mobili moderni è in grado di utilizzare la tecnologia NFC e di trasmettere e ricevere dati, sono diventati un mezzo popolare per la pubblicità semplice e per una maggiore comodità per gli utenti.
Oggigiorno i codici QR sono comunemente utilizzati da una varietà di persone e i criminali informatici hanno utilizzato il quishing per prendere di mira gli individui vulnerabili, tra cui:
Gli esercizi pubblici più frequentati, come i ristoranti e i bar, sono i bersagli principali delle vittime del quishing. Molti di questi rischi sono diventati più evidenti durante il COVID-19, quando i codici QR sono stati ampiamente utilizzati per evitare contatti inutili, sostituendo l'uso di menù fisici o pagamenti in contanti.
Poiché la tendenza dell'uso dei codici QR continua, i pericoli del quishing sono aumentati nel corso degli anni. Individui e aziende dovrebbero adottare le dovute precauzioni per evitare di essere vittimizzati.
La FTC ha fornito diverse strategie che le organizzazioni possono seguire per proteggersi dalle strategie di quishing. Tra cui:
Pensa prima di scansionare: è importante riconoscere che, sebbene i codici QR siano comodi e facili da usare, possono nascondere dei pericoli. Prima di scansionare un nuovo codice, assicurati di scansionare solo codici provenienti da fonti affidabili. Questo è particolarmente vero se il codice QR richiede l'accesso a determinati permessi sul tuo dispositivo mobile per funzionare correttamente.
Cerca segni fisici di manomissione: quando si utilizzano codici QR in luoghi pubblici, è necessario cercare segni fisici di manomissione. Anche se non tutti gli adesivi QR devono essere considerati dannosi, dovresti esaminarli attentamente per vedere se sono pixelati o disallineati. Se il codice ti sembra sospetto, semplicemente non scansionarlo.
Ispeziona gli URL prima di usarli: la maggior parte dei dispositivi mobili ha dei protocolli di sicurezza che ti permettono di ispezionare il tentativo di reindirizzamento URL prima di accettare di navigare sul sito. Prenditi il tempo necessario per assicurarti che il codice QR che hai scansionato ti porti al sito o all'applicazione mobile corretta, come dovrebbe.
Prestare attenzione alle richieste di codici QR indesiderate: la ricezione di e-mail indesiderate da siti web apparentemente legittimi con la richiesta di scansionare codici QR deve essere gestita con cautela. Il fatto che ti venga detto di scansionare un codice QR con un contesto poco chiaro sull'uso che ne verrà fatto dovrebbe essere un segnale di allarme. Se non hai certezza della legittimità del codice, contatta l'azienda o recati direttamente sul sito web senza utilizzare alcun link di reindirizzamento.
Tieni disattivato l'NFC quando non lo usi: come buona regola generale, si consiglia di tenere l'NFC disattivato quando non lo si usa. Questo aiuta a prevenire la condivisione di dati tra dispositivi senza il tuo consenso e aiuterà a evitare un'eccessiva impulsività durante la scansione di codici QR pubblici senza un'attenta considerazione.
I codici QR sono un modo comodo per installare applicazioni e ottenere maggiori informazioni su diversi marchi e servizi. Tuttavia, è importante non lasciare che la comodità di scansionare un codice QR annebbi il tuo buon senso quando si tratta di proteggere la tua privacy.
Restando vigili e seguendo le linee guida discusse, tu e la tua azienda sarete meglio protetti dal rischio di essere vittime di schemi di quishing.