Attenzione a non scannerizzare qualsiasi QR Code: alcuni sono vulnerabili e zeppi di malware

Dovete fare attenzione a non scannerizzare qualsiasi QR Code, alcuni possono essere molto pericolosi, tra virus e malware.

I QR Code non sono tutti uguali e bisogna fare molta attenzione a quelli che vogliamo scannerizzare con il nostro smartphone, perché possono nascondere virus e malware per il furto di dati o possono reindirizzare verso siti web malevoli. Pertanto, è bene essere consapevoli dei rischi che si corrono e prendere le misure adeguate per evitarli.

Come molti sapranno, il QR Code o codice QR permette di ottenere informazioni e accedere a pagine o siti web quando viene inquadrato dalla fotocamera dello smartphone. La sigla inglese di QR Code sta per Quick Response Code, codice a risposta rapida. Si tratta di un codice a barre bidimensionale o codice 2D, a matrice, formato da un quadrato che contiene diversi moduli neri su uno sfondo bianco.

Il QR Code viene letto da un lettore ottico o dalla fotocamera dello smartphone attraverso una apposita app, per scaricare informazioni di testo ma anche foto, video e perfino musica. In pandemia, è stato molto utilizzato per accedere ai menù di bar e ristoranti, essendo stato vietato l’uso dei menù cartacei. Il suo impiego è molto diffuso nei musei, per evitare di dover scrivere lunghe targhe o cartelli.

Attenzione a scannerizzare i QR Code, alcuni sono vulnerabili e con malware

L’ampia diffusione di codici QR, oltre che da indubbi vantaggi è accompagnata purtroppo anche da numerosi problemi, relativi soprattutto ai codici poco affidabili che rimandano a siti web pericolosi o che avviano il download di virus. Si tratta di un fenomeno in crescita che è stato chiamato quishing, che non è altro che una forma di phishing (QR + phishing).

Proprio come nel phishing, gli ignari utenti ricevono una mail in cui è contenuto un QR Code da scansionare. Secondo la classica tecnica truffaldina, la mail sembra provenire da un mittente autorevole, come una società informatica, un’azienda conosciuta o una banca e vengono invitati a scansionarlo.

Una truffa che si sta diffondendo in questo periodo è la finta email da Microsoft in cui gli utenti vengono avvisati della scadenza dell’autenticazione a due fattori e poi invitati ad autenticarsi nuovamente, scansionando il codice QR contenuto nella mail. A quel punto, il codice QR li reindirizzerà su una falsa pagina della compagnia dove avverrà il furto delle credenziali.

Per difendersi da questi attacchi, occorre prima fare attenzione ai mittenti delle email e non aprire quelle sospette. Poi, è bene dotarsi di sistemi di protezione della posta elettronica, come il riconoscimento ottico dei caratteri OCR, per convertire le immagini in testo, e il rilevamento degli URL che si nascondono nei codici QR. Molti servizi di posta elettronica hanno già questi strumenti di analisi della sicurezza delle mail.