I codici QR sono una grande invenzione o una minaccia alla sicurezza informatica?

Nel 2021, 75,8 milioni di utenti di smartphone negli Stati Uniti hanno scansionato un codice QR sui propri dispositivi mobili, con un aumento del 15,3% rispetto al 2020.

Si prevede che l’utilizzo di scanner di codici QR mobili sperimenterà una crescita continua, raggiungendo circa 99,5 milioni di utenti negli Stati Uniti entro il 2025.

I codici QR sono diventati più attraenti per gli attori delle minacce man mano che sono stati adottati più ampiamente. La stessa accessibilità che li rende utili li rende anche metodi di consegna efficienti per malware e phishing.

Con il 59% degli intervistati che ritiene che i codici QR sarebbero stati una parte permanente dell’utilizzo del proprio telefono cellulare in futuro, quali sono le ramificazioni della sicurezza informatica dei codici QR tradizionali?

Gli specialisti della sicurezza informatica Ping Identity hanno esplorato la crescente minaccia degli attacchi al codice QR e come proteggersi dalle truffe.


Cosa sono i codici QR?

I codici QR sono codici a barre a matrice che spesso consentono ai clienti di accedere a coupon esclusivi, visitare siti Web aziendali, ottenere offerte esclusive o scoprire di più su beni e servizi.

I consumatori possono facilmente scansionare e interpretare il messaggio contenuto in una casella di codice QR puntando la fotocamera di uno smartphone verso il codice dopo aver installato un’applicazione per la lettura di codici QR.


Perché i codici QR spesso non sono sicuri

Il problema più grande con i codici QR è che gli esseri umani non possono leggere il loro formato, rendendo impossibile per noi dire se un codice QR è reale o falso solo guardandolo.

Di seguito sono riportati alcuni modi in cui le parti malintenzionate possono utilizzare i codici QR contro di te:

Phishing

Un altro problema noto come QPhishing è l’uso dei codici QR nelle truffe di phishing. Un criminale informatico potrebbe aggiungere l’URL di un sito Web di phishing a un codice QR legale.

Gli utenti vengono quindi invitati dal sito Web di phishing a divulgare i propri dati, che i truffatori venderanno poi sul dark web. Inoltre, potrebbero spingerti ad acquistare beni che portano loro denaro.

Questi siti Web di phishing sono a malapena distinguibili dai siti Web reali, dando alla vittima l’impressione che siano affidabili.

Con poche piccole eccezioni, sono riproduzioni in gran parte perfette dell’originale. Ad esempio, il “.com” nel nome di dominio può essere cambiato in qualcos’altro, come “ai” o “in”.

Attacchi malware

Per infettare chiunque esegua la scansione con malware, i criminali informatici possono includere URL pericolosi nei codici QR che vengono visualizzati in luoghi pubblici.

Occasionalmente, il semplice accesso al sito Web potrebbe avviare il download di malware in background. Inoltre, possono inviare e-mail di phishing con codici QR che, una volta scansionati, infettano nuovamente il dispositivo dell’utente con malware.

L’infezione può quindi danneggiare i consumatori in vari modi. Potrebbe creare backdoor per ulteriori infezioni da malware o rubare informazioni sulla vittima in modo invisibile e trasferirle agli aggressori.

Tali infezioni da malware a volte possono anche essere attacchi di ransomware che tengono prigionieri i tuoi dati fino a quando non paghi il riscatto.

Furto finanziario

L’uso diffuso dei codici QR come metodo di pagamento offre opportunità per gli attori delle minacce.

I truffatori possono utilizzare i codici QR come metodo di pagamento, ma possono inviare i tuoi soldi all’account errato o persino inviare più denaro di quanto necessario dal tuo account.


È necessaria una migliore sicurezza del codice QR

Non c’è nulla nell’utilizzo di un codice QR che lo renda più rischioso rispetto all’utilizzo di un’app per smartphone o di un browser online. Tuttavia, i truffatori e altri malintenzionati possono manomettere abilmente i codici QR per utilizzarli come percorso offline-online.

L’applicazione delle migliori pratiche per la sicurezza del codice QR è essenziale sia dal punto di vista dell’azienda che dell’utente.


Consigliato


I consumatori devono cercare tecniche per valutare la sicurezza e la legittimità di una scansione del codice QR. Per aumentare scansioni, clic ed eventualmente conversioni, le aziende devono comunicare e segnalare la validità dei propri codici.

Quando i clienti sono vittime di frodi tramite codici QR e altre truffe, le aziende spesso pagano il conto.

Zain Malik di Ping Identity ha commentato: “Nella transizione mondiale verso la digitalizzazione, numerosi criminali hanno sviluppato vettori di attacco all’avanguardia per trarre vantaggio sia dagli individui che dalle organizzazioni.

“Anche se i codici QR non possono essere letti dagli esseri umani, i dati sensibili devono comunque essere crittografati per salvaguardare la privacy degli utenti e gli sviluppatori devono aderire alle migliori pratiche di sviluppo sicure”.


Ricevi le ultime notizie da DIGIT direttamente nella tua casella di posta

La nostra newsletter copre le ultime notizie di tecnologia e IT dalla Scozia e oltre, oltre a funzionalità approfondite e interviste esclusive con figure di spicco e astri nascenti.

Per iscriverti, clicca qui.

Leave a Comment

Your email address will not be published. Required fields are marked *