I codici QR (quick response) vengono sempre più spesso utilizzati come strumento per ridurre i punti di contatto e la tracciabilità in questa fase pandemica, consentendo una condivisione dei dati comoda e senza contatto. Non sono intrinsecamente non sicuri, ma potrebbero essere sfruttati dai cyber attaccanti.
Possiamo pensare ai QR code in modo simile ai servizi di abbreviazione degli URL – che forniscono un accesso istantaneo a informazioni come siti web e di contatto. Possono anche permettere agli utenti di accedere a una rete Wi-Fi senza password. Li vediamo sempre più utilizzati in tutti i settori. Ma noi come ci comportiamo di fronte a essi?
La tecnologia dei codici QR è sicura di per sé, ma più aumenta la fiducia in essa, più i criminali informatici la stanno tenendo d’occhio. Questi codici potrebbero infatti rappresentare un accesso per potenziali attacchi informatici perché non forniscono alcuna visibilità sulla pagina web, l’applicazione, o altro a cui conducono. Reindirizzano infatti automaticamente gli utenti a siti e app store per scaricare applicazioni, effettuare pagamenti e altro ancora, fornendo ai cybercriminali l’opportunità di inserirsi nel processo. Durante la pandemia, Unit 42, il team di threat intelligence di Palo Alto Networks, ha osservato malintenzionati nei forum sotterranei online che discutevano di come sfruttare i codici QR per attaccare gli utenti, oltre ad aver trovato strumenti open source e video tutorial che offrono formazione su come condurre attacchi utilizzando questi codici.
Nel 2018, Juniper Research aveva previsto un aumento di quattro volte nell’uso dei codici QR entro il 2022 dato che la funzionalità di scansione QR è oggi integrata nelle fotocamere di molti dispositivi mobili, ma è probabile che la pandemia abbia favorito ulteriormente l’uso di questa tecnologia, ed è importante essere cauti su ciò che stiamo scansionando.
Come i criminali informatici potrebbero sfruttare i codici QR
Ci sono diversi modi in cui i criminali informatici potrebbero sfruttare i codici QR per i loro obiettivi pericolosi. Un metodo è quello di entrare nel sito web di un’azienda e sostituire il codice QR con il proprio. Poiché sono così simili sarebbe incredibilmente difficile individuare lo scambio. La scansione di questo codice potrebbe indirizzare automaticamente i consumatori ignari verso un URL di phishing che richiede le credenziali dell’utente per prendere il controllo dei suoi account di posta elettronica o social media, per esempio. Potrebbe anche condurre gli utenti a un app store illegittimo, dove scaricare inconsapevolmente app dannose contenenti virus, spyware, trojan o altro tipo di malware impiegato per il furto di dati, la violazione della privacy (GPS o lista di contatti rubati, chiamate / messaggi intercettati), l’estorsione di ransomware o talvolta il cryptomining.
Un’altra tecnica dei criminali informatici è un honeypot: la creazione di una rete Wi-Fi non sicura che promette Internet gratis a chiunque scansioni il codice QR. Una volta che un dispositivo è collegato, gli hacker possono spiare o intercettare i dati condivisi e rubare informazioni di identificazione personale, dati aziendali riservati, credenziali bancarie online e informazioni della carta di credito. Poiché lo smart working probabilmente continuerà, è importante essere consapevoli di questi metodi e collegarsi solo a reti Wi-Fi sicure.
Codici QR: pensa prima di scansionare
Come proteggerci? A occhio nudo, non c’è modo di dire se un codice QR è stato abusato dai criminali, ma ci sono molte precauzioni che si possono prendere per evitare di caderne vittime.
Gli amministratori IT devono effettuare controlli regolari sull’integrità dei loro siti e applicazioni per assicurarsi che il codice e il link che stanno fornendo siano corretti. Devono monitorare sia la versione web che quella mobile del browser, poiché i cybercriminali sono noti per compromettere solo quest’ultima al fine di ridurre la possibilità di rilevamento.
I datori di lavoro dovrebbero fornire al personale una formazione sulla sicurezza IT per renderli consapevoli dei rischi per l’organizzazione e se stessi. Questi includono l’uso di password forti e uniche sia per gli account personali che per quelli di lavoro, l’impostazione dell’autenticazione a più fattori e l’identificazione delle e-mail di phishing, così come degli ambienti virtuali non sicuri. Poiché molti dipendenti continuano a lavorare dall’esterno dell’azienda, la formazione sulla consapevolezza IT fornirà alla forza lavoro remota la conoscenza e la preparazione per prendere decisioni sensate, impedendo agli attaccanti di ottenere l’accesso a qualsiasi rete personale e aziendale, dispositivi e dati.
A tutti noi è stato insegnato di “pensare prima di cliccare” su un link o un’e-mail sospetta, ma ora è il momento di rivedere questo concetto per i codici QR – quindi pensa prima di scansionare. Non procedere con un codice QR se non sai dove ti porterà, e visualizza l’anteprima del sito web e il nome del dominio per assicurarti di essere dove aspettavi di essere indirizzato. Ci sono molte app sicure per la scansione dei codici QR che permettono agli utenti di vedere in anteprima i siti web. Molti browser consentono anche di disabilitare i reindirizzamenti automatici ai siti, per consentire agli individui di controllare il dominio dell’URL e decidere se è degno di fiducia, fornendo ulteriori informazioni prima di agire.
Assicurati di scaricare solo applicazioni da fonti affidabili come l’App Store di Apple o il Play Store di Google e di aggiornare continuamente tutti i dispositivi intelligenti per beneficiare delle ultime protezioni di sicurezza.
In sintesi, i suggerimenti sono:
- Pensare prima di eseguire la scansione
- Controllare dopo la scansione
- Essere consapevoli e attenti
Come per ogni tecnologia in rapida ascesa, è probabile che assisteremo a un aumento dei tentativi dei cyber criminali di abusare dei codici QR nei prossimi mesi, quindi è fondamentale essere consapevoli dei rischi per prendere le giuste precauzioni. Pensate attentamente prima, durante e dopo la scansione dei codici QR per massimizzare la possibilità di proteggere
Di Anna Chung, analista principale presso Unit 42, team di threat intelligent di Palo Alto Networks
