Occhio al QR code, cybercriminali potrebbero essere dietro l’angolo

I QR code sono ormai familiari per la maggior parte degli utenti mobile, in parte anche grazie alla pandemia che ci ha abituati a scansionare i popolari codici usati per rappresentare il nostro Green pass. In molti con estrema leggerezza inquadrano qualunque codice capiti a tiro, incuriositi dal contenuto accessibile una volta inquadrati. Tutto questo non è passato inosservato ai criminali informatici, e si moltiplicano le segnalazioni di reati che utilizzano i QR code come vettore di attacco.

Nei giorni scorsi l’FBI ha emanato un’allerta per mettere in guardia i cittadini americani dai ripetuti tentativi di criminali informatici di utilizzare i QR code per rubare le loro credenziali e informazioni finanziarie. Oggi i QR code sono ampiamente utilizzati per facilitare le operazioni di pagamento di beni e servizi, ad esempio in molte città è possibile procedere al pagamento del parcheggio inquadrando un codice apposto su una colonnina che ci indirizza al sito dell’azienda che eroga il servizio. Tutto semplice e rapido, a meno che qualcuno non riesca a sostituire il codice con uno falso che indirizza la vittima su un sito copia di quello legittimo e ne dirotta il pagamento.

Se pensate che questo scenario sia solo il frutto della mente fantasiosa di un esperto di sicurezza vi sbagliate, le forze dell'ordine di alcune città americane, tra cui Austin, Houston e San Antonio, hanno recentemente avvisato la popolazione del ritrovamento di adesivi con codici QR fraudolenti sulle stazioni e colonnine per il pagamento della sosta delle automobili. I codici puntavano al sito web "Quick Pay Parking" associato al dominio passportlab.xyz. 

La scarsa consapevolezza nella minaccia ed in questa metodica di attacco, fanno sì che crimini del genere possono rapidamente diffondersi causando ingenti danni ai cittadini. Scansionando un QR code si può essere indirizzati ad un sito strutturato per condurre molteplici tipologie di attacco, pensiamo ad una pagina di phishing proposta all’ignaro utente oppure ad un sito in grado di sfruttare una falla nel browser degli utenti per servire un malware che ne compromette il dispositivo.

"I criminali informatici stanno sfruttando questa tecnologia per indirizzare gli utenti che scansionano i QR code verso siti dannosi per rubare i dati delle vittime, oppure per infettare i loro dispositivi con malware ed ottenerne l'accesso e dirottando il pagamento". recita l’alert dell'FBI . “I criminali informatici manomettono i codici QR digitali e fisici per sostituire i codici legittimi con codici dannosi. Una vittima esegue la scansione di quello che ritiene essere un codice legittimo, ma il codice manomesso indirizza le vittime a un sito dannoso, che richiede loro di inserire informazioni di accesso e finanziarie". "Sebbene i codici QR non siano di natura dannosa, è importante prestare attenzione quando si inseriscono informazioni finanziarie e si effettua il pagamento tramite un sito navigato tramite un codice QR", afferma l'FBI. 

L’alert emanato dall'FBI include i seguenti suggerimenti per proteggere le persone da questo tipo di attacchi:

• Controllare l'URL ottenuto scansionando un codice QR per assicurarsi che sia il sito a cui si è indirizzari sia autentico. Gli attaccanti potrebbero utilizzare domini con nomi che appaiono legittimi, ad esempio simili all'URL previsto ma con errori di battitura.
• È buona abitudine ricontrollare qualsiasi sito a cui si è diretti prima di fornire informazioni di accesso, personali o finanziarie.
• Se si esegue la scansione di un codice QR fisico, ad esempio presente su un adesivo apposto in un luogo pubblico, assicurati che il codice non sia stato manomesso, ad esempio con un adesivo posizionato sopra il codice originale.
• Mai effettuare pagamenti richiesti tramite e-mail che utilizzano tecniche di ingegneria sociale per indurre i destinatari a scansionare il codice QR incorporato.
• Evitare il download di app mobile attraverso la scansione di un QR code, potrebbero infatti avviare il download da store non legittimi di applicazioni contenenti malware.
• Evitare di scaricare un’app per scansionare codici QR da store non ufficiali, tenete presente che la maggior parte dei telefoni oggi è in grado di scansionare un codice semplicemente attraverso l'app della fotocamera.
• Qualora si riceva un codice QR da qualcuno che conosciamo, cerchiamo di contattarlo tramite un canale alternativo per verificare che il codice provenga da loro.
• Non effettuare mai pagamenti tramite un sito cui si è arrivati attraverso la scansione di un codice QR, è consigliato di inserire manualmente l’URL legittimo nel browser per completare il pagamento.

L’utilizzo dei codici QR sta divenendo frequente anche in campagne di phishing con l’intento di evitare che i messaggi malevoli vengano bloccati dai sistemi di difesa. In dicembre una campagna di phishing riportata dagli esperti dell’azienda Cofense ha preso di mira i clienti di alcune banche tedesche utilizzando codici QR.  I criminali utilizzano QR code invece dei pulsanti all’interno del testo delle mail mentre il contenuto dei messaggi richiede ai destinatari di scansionarli. 

I clienti delle banche tedesche Sparkasse e Volksbanken Raiffeisenbanken si sono visti recapitare questi messaggi contenenti codici che una volta scansionati li indirizzavano verso pagine di phishing concepite per rubare informazioni finanziarie ai loro clienti. La conoscenza di questi schemi di attacco è essenziale per innalzare i nostri livelli di sicurezza, semplici regole di comportamento come quelle elencate possono metterci a riparo da brutte sorprese.