A cosa servono i codici QR e come possiamo essere truffati?
I codici QR sono presenti nel mondo tecnologico dal 2009. Tuttavia, ciò che in origine doveva avere la stessa funzionalità di un codice a barre sta diventando una risorsa indispensabile nella nostra vita quotidiana. Non solo come codice per ottenere maggiori informazioni sui prodotti, ma anche come risorsa per consultare o contrattare determinati servizi.
Si trova nei ristoranti (menu digitale), negli aeroporti (passaporto, visto o certificato di vaccinazione) e persino negli spot televisivi. Ma di recente le autorità hanno nuovamente messo in guardia da un preoccupante aumento delle truffe informatiche che utilizzano i codici QR.
I criminali informatici spesso sfruttano i luoghi pubblici, dove è comune trovare queste risorse informative. L’attacco informatico inizia posizionando un adesivo con un QR progettato dal criminale informatico che, se scansionato, ci indirizza a un sito web falso (Pharming; cyber-attacco di cui abbiamo parlato nei TIP precedenti) o scaricare un file o un’applicazione, apparentemente innocui, ma che possono causare molti danni al nostro dispositivo o fornire dati personali o di pagamento a quella terza parte senza che ce ne accorgiamo.
Come possiamo evitarlo?
- Prima di utilizzarlo, pensate se è davvero indispensabile e se non ci sono altre alternative informative: potrebbe anche non essere necessario. Soprattutto se non siamo sicuri della sua autenticità. In caso di dubbio, è quindi preferibile continuare a consultare le informazioni con altri mezzi (sito web ufficiale, opuscoli informativi, ecc.).
- Assicurarsi che il codice QR sia corretto: prima di scansionare un codice QR sulla terrazza di un ristorante, su un cartellone pubblicitario, su un volantino, alla fermata dell’autobus, dobbiamo verificare che non sia stato manomesso. A volte i criminali informatici sovrappongono un adesivo al loro falso QR, coprendo il vero QR. In caso di dubbio o di rilevamento di una possibile frode di questo tipo, è preferibile avvertire della manipolazione e consultare le stesse informazioni con altri mezzi (dipendenti della struttura, sito web, ecc.).
- Diffidate dell’autenticità del QR se vedete che la pagina web a cui rimanda non è correlata, non è sicura (ha un lucchetto o una “S” alla fine dihttps) o è molto poco informativa: la funzione dei QR è principalmente pubblicitaria e informativa. Di solito reindirizzano a una mappa della località, a un’e-mail, al menu di un ristorante, a un sito web o a un profilo di un social network. Tuttavia, se la richiesta è di inserire dati personali, bancari o di pagamento, o anche di scaricare un file, un’applicazione o di cliccare su un link in una pagina bianca, potremmo trovarci di fronte a una possibile tecnica di cyber-truffa.
NOTA IMPORTANTE: Se pensate di essere stati vittime di questo attacco informatico, nell’ambiente di lavoro segnalatelo al dipartimento IT, al CISO o al DPO e nell’ambiente personale alle autorità di polizia.