L’uso dei QR Code ormai è estremamente diffuso. Si utilizzano per ogni cosa. A trainare il fenomeno anche ristoranti e bar, che spesso suggeriscono di non utilizzare menu cartacei e utilizzano i codici QR per consentire ai clienti di visualizzarli su smartphone. E poi la pubblicità che sfrutta questa tecnologia per rinviare gli interessanti (una forma di pubblicità attiva) sui siti desiderati. Li si è usati anche per la verifica online del possesso o meno del Greenpass durante la pandemia: chi lo aveva poteva avere accesso ad alcuni locali, chi non lo aveva, invece, no.
Ma davvero si tratta di una tecnologia sicura? Cosa avviene quando mettiamo il cellulare davanti ad QR Code per “leggerlo”? A lanciare l’allarme sono stati alcuni esperti secondo i quali i QR Code potrebbero trasformarsi in strumento a disposizione dei pirati informatici per attaccare tramite computer, tablet, cellulari e sistemi informatici. Inquadrare un codice QR è come aprire un collegamento. Il vantaggio, per i malintenzionati, è che è difficile per l’utente verificare se un QR Code è sospetto prima di averlo usato (come si fa abitualmente controllando l’indirizzo Internet di un link). Spesso è praticamente impossibile.
A confermare che si tratta di un pericolo reale, uno dei più famosi hacker mondiali, Len Noe. Black Hat Hacker (criminale informatico) fino al 2001, oggi Noe lavora per i “buoni”. Noe è un WhiteHat Hacker (un hacker “etico”), un esperto di cybersecurity. Ricopre il ruolo di Global Enablment Engineer presso la CyberArk. Il suo compito è difendere le aziende che fino a non molto tempo fa attaccava. Recentemente Noe ha diffuso i risultati di una ricerca sulla pericolosità dei QR Code. “Gli attacchi ai QR Code si verificano ovunque con una frequenza allarmante e stanno diventando uno dei metodi di phishing preferiti dagli aggressori”, ha dichiarato Noe. “Bisogna procedere con cautela e applicare lo stesso controllo di sicurezza che si utilizza con le email. Questo le persone ancora non lo fanno. Non hanno capito che devono attuare nei riguardi del QR Code lo stesso atteggiamento di quando ricevono un email di spam”. Secondo Noe, “Il QR Code altro non è se non una forma fisica di una email di spam. Si connette ad un link che spesso riconduce a siti difficili da identificare. Negli Stati Uniti sono nati falsi siti web con offerte di lavoro solo per far sì che le persone inviino cv e dati personali. È una truffa di phishing. Quando si compila la domanda di lavoro, si inviano tutte le informazioni all’aggressore”. “Non scaricate mai nessun tipo di applicazione direttamente da un codice Qr. Andate sull’App Store o sul mercato Android” è il consiglio di Noe.
Un pericolo confermato da uno studio realizzato da MobileIron: analizzando un campione di 2.100 persone tra USA e Regno Unito, i ricercatori hanno scoperto che solo il 51% degli utenti ha un software di protezione installato sul telefono. I dati riguardanti l’uso dei QR Code sono poco rassicuranti: solo il 67% degli intervistati sa che la scansione può aprire un sito Internet, ma sono in pochi (19%) a essere consapevoli che potrebbe interagire con la posta elettronica, avviare una telefonata (20%) o creare un SMS (24%).
Per comprendere il pericolo legato all’uso senza le dovute cautele dei QR Code, basti pensare che pochi mesi fa è stata scoperta la vendita di falsi Greenpass.
I cyber criminali sfruttano ogni novità del mondo reale per poter truffare utenti e guadagnare denaro: utilizzano i “social” nell’attesa che un utente inesperto si attacchi all’esca e condivida informazioni sensibili sul proprio profilo. Il rischio di pubblicare screenshot del proprio QR Code è quello di diffondere informazioni personali che possono essere riutilizzati per frodi e furti d’identità. Un problema che riguarda molti cittadini ma che diventa preoccupante quando si parla di aziende, in particolare le aziende i cui dipendenti utilizzano il proprio cellulare per lavoro. In questo caso, il rischio di consentire l’accesso a interi database di dati riservati è davvero preoccupante. Basti pensare al settore pubblico o alle banche. Un pericolo che è aumentato con la prassi diffusasi durante la pandemia da COVID19 di consentire ai dipendenti di lavorare da casa, in smartworking. Un modo di agire in remoto che spesso è tutt’altro che “smart”e che può comportare seri pericoli.