Usare i codici QR in modo sicuro

Pericolo di infezioni drive-by

Apertura di pagine web dannose

Aprendo pagine web dannose può esserci il pericolo di infezioni drive-by. Le vulnerabilità vengono sfruttate per installare malware senza bisogno di ulteriori azioni da parte dell’utente.

Questa tecnica potrebbe essere adottata in molti degli esempi seguenti. In particolare quando il codice QR contiene link a siti web dannosi che passano inosservati agli occhi umani.

Attenzione alla trasmissione automatica (abbreviazione di URL)

Il problema dei servizi per l’abbreviazione di URL

I servizi per l’abbreviazione di URL come kaywa.me, che usiamo noi, permettono di generare codici QR dinamici. È una funzione molto pratica per la stampa. Il servizio per l’abbreviazione di URL reindirizza automaticamente gli utenti a un indirizzo di destinazione che non è visibile durante la scansione del codice.

Questo reindirizzamento è problematico perché gli indirizzi sicuri di kaywa.me sono facilmente imitabili e possono trarci in inganno conducendo a una pagina web potenzialmente dannosa, senza destare alcun sospetto durante la scansione del codice (esempio nei due codici QR qui sotto)

Generare SMS

Generare SMS precompilati

I codici QR possono essere usati in modo improprio per generare un SMS già pronto per essere inviato a un numero a tariffa maggiorata (090x). Osservate il seguente esempio fittizio..

Codice QR con testo SMS e numero di destinazione

Ecco cosa vedete con l’app Fotocamera dell’iPhone

Generare e-mail

Generare e-mail precompilate

I codici QR possono essere usati in modo improprio per generare un’e-mail fraudolenta già precompilata. Osservate il seguente esempio fittizio.

Accesso all’hotspot Wi-Fi

Login

I codici QR possono essere utilizzati in modo improprio per connettere l’utente a una rete Wi-Fi fittizia e dannosa. Il codice contiene il nome della rete (SSID), il tipo di crittografia e la password Wi-Fi.

Le reti Wi-Fi dannose possono essere in grado di monitorare e manipolare il traffico dati.

Osservate il seguente esempio fittizio.

Generare dati di contatto/vCard

Importare dati di contatto tramite vCard

Con i codici QR è possibile generare e importare intere voci della rubrica.

Un possibile pericolo non è quindi evidente. Nell’esempio è stato inserito un link a una pagina web potenzialmente dannosa. La persona, i cui dati di contatto sono ora presenti nella vostra rubrica e che quindi dimostra una certa legittimità, potrebbe chiedervi di visitare il link in un secondo momento.

Osservate il seguente esempio fittizio.

Importare una voce di calendario

Importare una voce di calendario

Les codes QR permettent de générer et d’importer des rendez-vous.

Con i codici QR è possibile generare e importare intere voci della rubrica. Un possibile pericolo non è quindi evidente. Nell’esempio è stato inserito un link a una pagina web potenzialmente dannosa. La persona, i cui dati di contatto sono ora presenti nella vostra rubrica e che quindi dimostra una certa legittimità, potrebbe chiedervi di visitare il link in un secondo momento.

Osservate il seguente esempio fittizio.

Codice QR con appuntamento in calendario

Skype

Riunione Skype

Con i codici QR è possibile trasmettere link a riunioni Skype. Anche in questo caso può essere sfruttata la mancata trasparenza dei codici QR. Con un dominio fittizio (ad esempio con lettere modificate nell’URL) è possibile falsificare un interlocutore legittimo.

Osservate il seguente esempio fittizio

Codice QR con collegamento a una riunione Skype

Link per installare un’applicazione (Android)

Link per installare un’applicazione (Android)

I codici QR possono essere utilizzati impropriamente per generare un link a un app store non autorizzato. I dispositivi Android sono più vulnerabili rispetto agli iPhone. Di solito, a meno che l'attacco non sia estremamente sofisticato, l'utente deve compiere ulteriori azioni per installare l'app.

Osservate il seguente esempio fittizio. Il link all'app store sarà già scaduto.