Elido
7 min di letturaConformità

I QR code sono sicuri? Il quishing e come proteggersi

Scansionare i QR code è sicuro - il rischio è dove portano. Come funziona il quishing, come riconoscere un QR code malevolo e cosa fare se ne hai scansionato uno falso.

Sasha Ehrlich
Compliance · EU residency
Un codice QR accanto a un triangolo di avvertimento e a uno scudo, che mostra che la scansione è sicura ma occorre verificare dove porta un codice QR per evitare il quishing, nella palette del marchio Elido

I QR code sono sicuri da scansionare. Il codice in sé è solo un link codificato, e aprirlo non è più pericoloso che digitare a mano lo stesso indirizzo web. Il vero rischio vive in dove il codice ti manda - ed è lì che operano gli aggressori. Un QR code malevolo può puntare a una pagina di login contraffatta costruita per rubare la tua password, o a un download che ti chiede di installare qualcosa di dannoso. Quindi la risposta onesta a "i QR code sono sicuri" è: la scansione è sicura, la destinazione è ciò che devi controllare.

L'attacco ora ha un nome - quishing, una fusione di "QR" e "phishing" - ed è cresciuto perché aggira due difese in una volta. Un QR code nasconde la sua destinazione fino a dopo la scansione, quindi il vecchio consiglio di ispezionare un link prima di cliccare è più difficile da seguire. E poiché un codice è un'immagine, sfugge a molti filtri email che leggono solo testo e link. Governi e ricercatori di sicurezza hanno segnalato l'aumento, e la tecnica ora compare in tutto, dai falsi cartelli sui parchimetri alle fatture.

Lo guardo da una posizione di compliance, dove la domanda è di solito "possiamo mettere un QR code su qualcosa rivolto al cliente senza creare rischi?" La risposta è sì, con delle abitudini. Questa guida copre come funziona il quishing, come leggere un codice prima di fidartene, e cosa fare se ne hai già scansionato uno cattivo. Se stai creando codici anziché scansionarli, come creare un QR code è il punto da cui partire.

Come funziona il quishing#

Un attacco di quishing ha la stessa anatomia di qualsiasi tentativo di phishing, con il link sostituito da un codice. Capire i passaggi rende ovvi i segnali d'allarme.

L'aggressore produce un QR code che si risolve in una destinazione fraudolenta - un finto portale di login, una pagina di pagamento o un prompt di malware. Lo colloca dove le persone scansionano senza pensarci: un'email che sembra provenire dall'IT o da una banca, un adesivo appiccicato sopra un codice reale su un manifesto o un parchimetro, un volantino, o un pacco inatteso. La vittima scansiona con il telefono, vede una pagina che imita qualcosa di familiare, e inserisce credenziali o dati della carta. I dati vanno all'aggressore.

Ciò che lo rende efficace è l'occultamento. Con un normale link di phishing, una persona attenta può passarci sopra e leggere prima l'URL. Un QR code non ti mostra nulla finché non ti sei già impegnato a scansionare, e su uno schermo piccolo la barra degli indirizzi è facile da ignorare. L'analisi del quishing di Kaspersky fa lo stesso punto: la destinazione nascosta è tutto il vantaggio. Il relativo trucco lato server che permette di piegare qualsiasi redirect verso un sito malevolo è l'argomento di le vulnerabilità di open redirect, e vale la pena sapere che i due spesso lavorano insieme.

Un attacco di quishing mostrato per fasi: l'aggressore crea un QR code malevolo, lo colloca come adesivo sopra uno reale, la vittima scansiona e atterra su una pagina di login falsa che raccoglie le credenziali

Segnali d'allarme di un QR code malevolo#

Puoi cogliere la maggior parte dei tentativi di quishing prima di qualsiasi danno leggendo insieme il contesto e l'anteprima. Pochi segnali fanno la maggior parte del lavoro.

  • Non te lo aspettavi. Un codice che arriva non sollecitato - in un'email, un messaggio, una posta cartacea o un pacco consegnato che non hai ordinato - merita sospetto prima di ogni altra cosa.
  • È un adesivo. Un codice fisico che sembra aggiunto sopra una grafica esistente, specialmente su parchimetri, manifesti e menu, è il singolo trucco più comune in circolazione.
  • Fabbrica urgenza. Formulazioni come "scansiona immediatamente per evitare la sospensione" o "verifica ora" sono progettate per spingerti oltre il momento in cui normalmente controlleresti.
  • L'anteprima sembra sbagliata. Dopo la scansione, la maggior parte dei telefoni mostra l'URL prima di aprirlo. Errori di ortografia, un dominio sconosciuto, un dominio che non corrisponde al brand, o uno shortener che non riesci a risolvere sono tutti motivi per fermarsi.
  • Pretende subito credenziali o pagamento. Una destinazione legittima raramente ti chiede di accedere o pagare prima di mostrarti qualcosa. Una falsa ci apre.

Le indicazioni della Federal Trade Commission statunitense e i consigli del NCSC britannico sui messaggi sospetti si riducono entrambi allo stesso istinto: se il codice e il suo contesto non risultano entrambi giusti, non agire su ciò che apre.

Checklist a due colonne: segnali d'allarme di un QR code malevolo come codici inattesi, adesivi, formulazioni urgenti e domini non corrispondenti, accanto ad abitudini sicure come vedere in anteprima l'URL e non inserire mai segreti che un codice ti ha spinto a fornire

Come scansionare i QR code in sicurezza#

La scansione sicura è un breve insieme di abitudini, non un'app speciale. Nessuna di esse ti rallenta granché una volta diventata routine.

  1. Usa la fotocamera integrata del tuo telefono o uno scanner che mostra l'anteprima dell'URL. Leggi quell'anteprima prima di aprirlo, ogni volta.
  2. Confronta il dominio con chi pensi abbia inviato il codice. Il brand all'inizio dell'indirizzo dovrebbe corrispondere al brand sul manifesto, sull'email o sul menu.
  3. Diffida dei codici che si risolvono in uno shortener che non riesci a espandere - e viceversa, la fiducia è più facile quando un codice punta a un chiaro dominio brandizzato che riconosci.
  4. Non inserire mai password, numeri di carta o codici monouso su una pagina che hai raggiunto solo perché un QR code te lo ha detto. Naviga invece tu stesso al sito.

Quel terzo punto taglia in entrambe le direzioni, ed è dove chi crea i codici può aiutare chi li scansiona. Un link breve brandizzato su un dominio che un cliente riconosce è molto più facile da fidarsi di uno opaco, il che fa parte del perché brandizzare un codice è una funzionalità di sicurezza e non solo di design - vedi design di QR code brandizzati.

Se pubblichi QR code rivolti ai clienti e vuoi che risultino affidabili - il tuo dominio, il tuo branding, una destinazione che puoi ripuntare se mai venisse abusata - genera QR code tracciabili con Elido così il tuo pubblico vede un nome che conosce anziché una stringa casuale.

Se ne hai già scansionato uno cattivo#

Scansionare e vedere in anteprima un codice malevolo non fa quasi nulla di per sé, quindi se ti sei fermato all'anteprima, molto probabilmente stai bene - chiudilo e vai avanti. L'esposizione viene dai passaggi successivi, e se li hai compiuti, muoviti rapidamente.

Chiudi la pagina e non inserire altro. Se hai già inserito una password, cambiala sul sito vero e attiva l'autenticazione a due fattori per quell'account. Se hai inserito i dati della carta o della banca, chiama la tua banca. Se hai installato o scaricato qualcosa, esegui una scansione di sicurezza e rimuovilo. Poi segnalalo - negli USA tramite la FTC, e altrove tramite il tuo organismo nazionale contro le frodi o il cybercrime - e tieni d'occhio gli account interessati per qualche settimana, perché le credenziali rubate vengono spesso usate in seguito anziché immediatamente. La postura più ampia per verificare qualsiasi destinazione breve o accorciata è in gli URL shortener sono sicuri e nella checklist di sicurezza per URL shortener.

I QR code vale la pena di tenerli - con delle abitudini#

Niente di tutto questo è un motivo per abbandonare i QR code. Sono un ponte davvero utile dal fisico al digitale, e il formato in sé non è il problema - lo è l'ingegneria sociale che gli viene avvolta attorno. La stessa logica vale dal lato della pubblicazione: un codice che controlli, fai puntare al tuo dominio e puoi misurare e ripuntare è più sicuro per il tuo pubblico di uno statico usa e getta, perché puoi reagire se una destinazione viene mai compromessa.

Per le organizzazioni, la visione di compliance è che un QR code è solo un altro canale che trasporta un link, e le stesse regole di minimizzazione dei dati e di residency si applicano a qualunque cosa porti - il dettaglio è in GDPR per gli URL shortener e sulla nostra pagina trust. Scansiona con un'anteprima, controlla il dominio, non inserire mai segreti su una pagina a cui un codice ti ha spinto, e i QR code restano ciò che dovevano essere: una comodità, non una responsabilità.

Correlati sul blog#

Prova Elido

Incolla un URL, ottieni un link breve

Senza registrazione. Il link vive 30 giorni. Iscriviti per conservarlo.

Gratis, nessuna registrazione richiesta · 2 al giorno

Prova Elido

Accorciatore di URL ospitato nell'UE: domini personalizzati, analisi approfondite e API aperta. Piano gratuito - senza carta di credito.

Tag
are qr codes safe
quishing
qr code phishing
qr code scam
malicious qr code
qr code security

Continua a leggere