Qualcuno l'ha ribattezzato "quishing", in un brutto gioco di parole fra QR code e phishing. Se l'etichetta linguistica non è entusiasmante il punto è però chiarissimo: le frodi perpetrate attraverso gli onnipresenti codici a barre bidimensionali a matrice attraverso i canali più diversi. Da quelli, classici, dell'invio di e-mail contenenti QR code malevoli al loro impiego fisico, con adesivi apposti per esempio in corrispondenza di parchimetri o sovrapposti a quelli, legittimi e magari utilizzati proprio per i pagamenti, in molti luoghi pubblici. Basti pensare ai menu dei ristoranti, ormai in gran parte smaterializzati tramite il ricorso a quei moduli bianchi e neri.
L'allarme della Ftc Usa
L'ultimo allarme arriva niente meno che dalla Federal Trade Commission statunitense che ha allertato la pubblica opinione sui rischi di scansionare QR code vecchi o di origine poco certa con un intervento sul proprio blog ufficiale. Come si diceva, malintenzionati di ogni genere possono piazzare trappole che, rispetto al phishing tradizionale relegato all'ambito puramente digitale, hanno il vantaggio di poter essere stampate o trasformate in adesivi e piazzate un po' ovunque. In attesa che qualcuno, prima o poi, ci caschi, inquadrando un codice con la propria fotocamera e magari - convinto di pagare la sosta dell'auto o qualche altro prodotto - inserisca le informazioni delle proprie carte di credito. O anche solamente gli estremi di accesso a qualche servizio da sottrarre e utilizzare a piacimento.
John Fokker, che dirige l'intelligence sulle minacce alla società di sicurezza informatica Trellix, ha spiegato al New York Times di aver individuato "60mila casi di attacchi con QR code" solo nel terzo trimestre di quest'anno. Fra i casi più frequenti emergono le truffe via e-mail, la posta elettronica che simula l'azienda per cui si lavora, finti corrieri che domandano la scansione del codice per riprogrammare una fantomatica consegna ma anche - come accaduto l'anno scorso in Texas - QR code malevoli posizionati sui parchimetri e che, ovviamente, indirizzavano le persone verso un sito di pagamento falso.
Le diverse tecniche di attacco
Venendo all'Italia, poche settimane fa il provider di servizi e-mail Harmony Email ha diffuso una ricerca nella quale si raccontava che il gruppo ha registrato un mostruoso incremento del 587% delle truffe di phishing tramite QR code tra agosto e settembre scorsi. Secondo Statista, nel 2022 negli Stati Uniti, sono stati circa 89 milioni gli utenti che hanno scansionato un QR code con il proprio smartphone, facendo registrare un aumento del 26% rispetto al 2020. Si prevede che l'abitudine di scansionare i QR code sia in costante aumento e che raggiungerà oltre 100 milioni di utenti negli Stati Uniti entro il 2025.
Gli esperti della società di sicurezza Barracuda hanno invece analizzato alcuni esempi di tecniche utilizzate dai cybercriminali. Si va appunto dal link di phishing, cioè la tattica con cui gli aggressori inseriscono i QR code in messaggi di phishing che inducono gli utenti a scansionare il codice e visitare così una pagina fasulla, al download di malware fino ai dispositivi compromessi. In quest'ultimo caso i QR code possono essere utilizzati anche per accedere a siti di pagamento, seguire account sui social media e persino inviare messaggi di posta già preconfezionati dagli account delle vittime. Questo significa che gli hacker possono facilmente rubarne l'identità e prendere di mira altri utenti tra i loro contatti.
Come difendersi dai QR code malevoli
Ma quindi come ci si difende dall'abuso di questi codici bidimensionali, inventati in Giappone all'inizio degli anni '90? La stessa Ftc suggerisce - al pari di quel che si dovrebbe fare col classico phishing - di ignorare le e-mail inaspettate o altri messaggi contenenti ogni sorta di richiesta urgente. È anche utile controllare l'URL visualizzato sullo schermo durante la scansione per assicurarsi che sia un sito di cui ci si fida. D'altra parte, anche un codice QR legittimo può mostrare un indirizzo web abbreviato confuso e senza senso, quindi se si sa quale sito si intende visitare, è meglio collegarsi direttamente. Gli esperti raccomandano anche di non utilizzare app di terze parti per scansionare i QR code ma sfruttare direttamente (e più semplicemente) le fotocamere di Android e iOS. Mantenendo un minimo di senso critico per i QR code che si trovano dove non ci aspetteremmo che fossero: se esistono metodi alternativi, forse è meglio utilizzare quelli.