La fregatura nascosta nei QR Code
Seconda lezione di difesa personale per evitare di cadere nella trappola del QRishing.
di Umberto Rapetto (Generale Gdf – già comandante Nucleo Speciale Frodi Telematiche)
Abbiamo già imparato a non rimanere sbalorditi se ci tocca in sorte di sentire dire una parola impronunciabile come “QRishing”. A parte l’aver introdotto l’argomento su queste pagine, dovremmo comunque aver fatto l’abitudine a vocaboli strani e soprattutto dovremmo aver imparato che se un termine si chiude con “ishing” vuol dire che si riferisce a una fregatura…
Da anni conosciamo il “phishing”, ovvero la tecnica che attraverso mail ingannevoli fa cadere in trappola chi ubbidisce alle istruzioni contenute nella missiva elettronica. È un sistema fraudolento caratterizzato da eterna giovinezza, visto e considerato che miete vittime addirittura dal 1997 nonostante i fiumi di parole che sono scorsi inutilmente per allertare la gente di un simile pericolo. Tra le forme evolute ce n’è una particolarmente insidiosa il cui “amo” non è un messaggio di testo ma un QR Code. Perché un simile cambiamento in una metodologia ampiamente collaudata e di efficacia inossidabile? Non sembrerebbe esserci una ragione, invece questa è la dimostrazione di quanto siano avveduti i criminali e sappiano guardare al futuro.
In origine le comunicazioni truffaldine avevano il difetto di essere sgrammaticate e allo stesso tempo il vantaggio di poter contare su destinatari distratti, poco attenti e comunque sostanzialmente impreparati ad affrontare una insidia così innovativa.
Quando gli utenti hanno cominciato a far caso agli evidenti errori ortografici e agli sbalorditivi strafalcioni, i banditi hanno affidato la stesura delle loro mail a colleghi più istruiti e dotti prolungando l’esistenza di questa comoda autostrada della ruberia.
Con grande lentezza chi adopera smartphone e computer ha imparato a diffidare di certi messaggi e quindi – prima che si interrompesse questo “feeling” – i malviventi hanno inventato qualcosa di nuovo e hanno scommesso su questi “codici a risposta rapida”.
Questa novità spiazza chi si sentiva al sicuro per aver installato sul server di posta un grintoso filtro pronto a intercettare i messaggi birbaccioni e aveva visto ridursi significativamente l’afflusso di spam e trappole.
Gli stessi delinquenti hanno capito che la mail, se anche non viene bloccata, è un grimaldello che può non funzionare perché il click sul “link” balordo lo deve comunque fare l’utente: se il tizio non “ubbidisce” al suggerimento o all’invito, l’esca si rivela infruttuosa e si è persa un’occasione.
Il QR Code non ha bisogno della vera e propria “intermediazione” da parte dell’utente. L’elemento grafico può essere anche decontestualizzato e presentarsi sotto altra veste. L’importante è che lo smartphone inquadri tale immagine e la “traduca” nel testo (indirizzo o istruzione malevoli), così da avviare le operazioni automatiche conseguenti.
Chi inconsciamente fa deglutire un “QR code” al proprio smartphone è come se facesse involontariamente partire un colpo dal fucile da caccia sul proprio piede…
Possibile che una sciocchezza simile sia così grave?
I comandi occultati nel QR code vengono diligentemente eseguiti dal dispositivo che prende per buono quel che gli viene somministrato e, purtroppo, spinge il suo malcapitato possessore verso esperienze che possono essere davvero sgradevoli.
Se tutto va bene lo smartphone si collega a un sito fasullo e, quindi, se l’utente non si lascia incantare dall’estrema similitudine con quello originale di uso frequente c’è ancora qualche possibilità di salvezza.
Se la sorte è avversa – teniamoci forte – l’inquadratura del QR code lancia un programma capace di devastare quanto memorizzato sul cellulare, di rubarne il contenuto e spedirlo a chissà chi, di compromettere il funzionamento dell’apparato o magari di installare un software-spia.