Tra qualche giorno sarà obbligatorio utilizzare uno nuovo metodo di pagamento comodo, rapido e “sicuro”, il codice QR!
Apparentemente sembrerebbe una meravigliosa rivoluzione. Basta complessità, basta codici numerici, basta lungaggini; benvenuta comodità di scattare una foto e pagare in un click.
Purtroppo, come spesso capita, il diavolo si nasconde nei dettagli. I codici QR ci espongono ad enormi rischi e non solo, ci lasciano totalmente indifesi.
Per capire partiamo dall’analizzare due recenti notizie:
- la prima riguarda centinaia di applicazioni sullo store google play che sono state “infettate” da un trojan. Bastava scaricare queste applicazioni legittime per trovarsi a sottoscrivere, senza saperlo, abbonamenti e servizi. Importante sottolineare che una volta scaricata l’applicazione, ripetiamo, legittima, il trojan per lavorare non aveva necessità di altre autorizzazioni da parte dell’utente che quindi non si accorgeva di nulla.
- la seconda notizia riguarda invece l’attacco ransomware che ha colpito un ospedale francese. La caratteristica dei ransomware è quella di essere attivati spesso da una ignaro “click” di un utente.
Queste due notizie ci fanno intravvedere come da una parte una azione del tutto legittima abbia spalancato la porta ad un attacco informatico; dall’altra come la probabile disattenzione di un utente abbia, anche in questo caso, spalancato la porta agli hacker.
Ricordate il famoso adagio “non cliccate sui link”?
Ricordate il consiglio “non aprite allegati sospetti”?
In entrambi gli attacchi qualcuno ha compiuto una azione senza comprenderne le conseguenze, senza sapere dove quelle scelte l’avrebbero portato.
Ecco ora immaginate che vi arrivi per mail oppure che troviate su un sito o su un cartellone pubblicitario un link del genere:
postfinence.ru/ajs&5akai/sjs%20%20sjso
lo seguireste? Ci clicchereste sopra? Ovviamente no!
Photo by Toa Heftiba on Unsplash
Ora immaginate di trovarvi nella cassetta delle lettere oppure nella cartella delle e-mail un codice QR da scansionare con il telefono per pagare una fattura, un acquisto o fare una donazione.
Voi sareste capaci di capire dove vi porterà quel codice QR? E se vi portasse sul sito della vostra banca e vi invitasse a scaricare un aggiornamento del software, sareste sicuri di essere veramente sul vostro e-banking?
Il codice QR offre parecchi vantaggi; può inglobare quasi 5.000 caratteri, ossia questo articolo e molti meno caratteri di alcuni programmi capaci di fornire accesso ad un computer o ad un telefono; inoltre a differenza dei tradizionali codici a barre è strutturato per poter essere letto anche se una parte consistente di esso è rovinata.
Utilissimo, ma allo stesso tempo, non è possibile verificare, cosa abbia codificato sino a quando non lo si scannerizza e questo aumenta il rischio di truffe e raggiri.
Se non mi credete, provate a scansionare i tre QR sopra creati con un tool chiamato SET (Social Engineering Toolkit) che fa parte delle armi di ogni buon hacker. Provate a indovinare dove vi porteranno. Uno vi porterà sul nostro sito, uno sul sito di un noto quotidiano ticinese e un altro sempre sullo stesso quotidiano, ma con una sorpresa “innocua” nel titolo.
E ad essere in pericolo non sono solo i cittadini con i loro cellulari, ma anche i loro computer e le infrastrutture di aziende, Cantoni, Comuni e persino della Confederazione.
Oggi molte organizzazioni smaterializzano la posta. Arriva viene scansionata in automatico e poi immessa nei sistemi senza alcun controllo.
Pensate anche ad una cartella clinica che venga scansionata, ma che riporti dati contraffatti o non veritieri oppure cosa sarebbe accaduto, se qualcuno avesse fatto scansionare un codice covid contraffatto per bucare il sistema informatico della Confederazione.
Photo by Lukas on Unsplash
E quel che è peggio nemmeno chi emette il codice QR è in grado di leggerlo, se non scansionandolo a sua volta, quindi nemmeno banche, giornali, uffici e istituzioni sarebbero capaci di intervenire preventivamente nel caso il codice che emettono fosse alterato.
Se fossi a capo di un gruppo criminale valuterei molto attentamente la possibilità di introdurmi nei sistemi di una organizzazione come una cassa malati o un ufficio pubblico per manomettere i codici QR di pagamento.
Loro manderebbero via migliaia di avvisi di pagamento, io starei ad aspettare qualche centinaio o migliaio di cittadini che credendo di pagare ingrosserebbero il mio conto in banca e prima che qualcuno se ne accorga, potrebbero passare giorni o addirittura settimane, dandomi tutto il tempo di trasferire i soldi in qualche paradiso caraibico o magari in criptovalute.
Spesso Comodità non fa rima con Sicurezza!
Un commento su “QR code… una comoda catastrofe”
I commenti sono chiusi.