
Con la novità del Green Pass si sta diffusamente parlando di QR (abbreviazione per: Quick Response) code, ovverosia un codice a barre quadrato in grado di contenere delle informazioni codificate la cui lettura diventa possibile attraverso un apposito programma. Questi codici possono essere resi disponibili su un’etichetta prodotto o come parte di un coupon, stampati su foglio (ad esempio per aprire il menù di un ristorante), digitalizzati o anche avere un formato interamente digitale.
Nel caso del Green Pass, l’app VerificaC19 è in grado di rendere accessibili e consultabili le informazioni riguardanti la validità del certificato nonché il nominativo e la data di nascita del titolare. Dalle specifiche tecniche pubblicate dalla Commissione Europea, il QR code contiene però alcune informazioni ulteriori, per cui l’invito del Garante ad evitarne la diffusione (soprattutto via social network) è una cautela senz’altro necessaria.
Infatti, avere una chiara consapevolezza circa i dati che si fanno oggetto di comunicazione e diffusione è uno dei primi passi per poter coltivare la propria sicurezza digitale in modo corretto. Il secondo è ovviamente avere contezza dei rischi a cui ci si espone diffondendo o comunicando taluni dei propri dati personali, tenuto conto degli attuali scenari relativi ai cyberattacchi. Conoscere per prevenire, insomma.
È bene ora considerare un differente scenario: quali sono i rischi se per curiosità si vuole leggere un QR code?
Ebbene, dal momento che fra le informazioni che è possibile inserire all’interno del codice rientra anche un indirizzo internet, un cybercriminale potrebbe ben impiegare questo tipo di strumento per veicolare un attacco e, ad esempio, reindirizzare l’utente ad una landing page fraudolenta o inserire un url dannoso da cui scaricare un malware. Questo è il fenomeno del QRishing (QR+phishing), emerso già in ragione di un impiego maggiormente diffuso del QR code nella vita quotidiana, aumentato in modo significativo nel corso dell’emergenza pandemica.
I problemi fondamentali sono analoghi allo smishing: un’erronea convinzione che lo smartphone sia sicuro e una soglia di attenzione minore relativa al suo impiego. E dunque, si può diventare vittime di truffa, dal momento che si andranno ad inserire i propri dati personali (e spesso anche le informazioni di pagamento) in una pagina aperta tramite un QR code solo apparentemente affidabile, o si scaricherà un malware sul proprio dispositivo. Ad esempio, un truffatore può sovrapporre un’etichetta con il proprio QR code sopra un codice originale o allegarlo ad una pubblicità o un buono sconto contraffatto, approfittando così della notorietà di un brand per carpire la fiducia della vittima.
La consapevolezza del metodo di attacco e l’adozione delle tipiche cautele anti-phishing opportunamente declinate sono e rimangono i migliori strumenti di difesa per l’utente.