Occhio al QR Code, può non essere innocuo

di Umberto Rapetto (Generale Gdf – già comandante Nucleo Speciale Frodi Telematiche)

I truffatori sono instancabili e ne pensano sempre una più del diavolo. Non bastando i tanti artifizi con cui riescono tradizionalmente a gabbare gli immancabili malcapitati, in tempi recenti hanno scoperto che un buon sistema per turlupinare una nuova schiera di vittime può essere quello di agire sulle etichette dei prodotti o sui manifesti promozionali affissi in giro per le città.

Le nuove lezioni di “difesa personale cibernetica” sono dedicate a un fenomeno, purtroppo sempre più diffuso, che si chiama QRishing…

Prima di spaventarsi per la semplice difficoltà a pronunciare questo incredibile nome, occorre fare un passo indietro e scoprire le radici di questo moderno inghippo. Nel 1948 due studenti di ingegneria dell’Università di Drexel, Norman Joseph Woodland e Bernard Silver, conoscono il presidente di una industria alimentare. Il top manager è crucciato dai problemi organizzativi della sua azienda e dall’esigenza di automatizzare le operazioni di cassa e di magazzino.

I due giovanotti si inventano il codice a barre, un sistema di identificazione basato su un insieme di elementi grafici a contrasto elevato (righe nere e bianche) destinati ad essere letti con un sensore luminoso e poi decodificati per ottenere l’informazione contenuta.

Tale codice – che abbiamo visto milioni di volte su scatole, confezioni e bottiglie – è quello sfruttato dalle cassiere al supermercato per riconoscere e contabilizzare il prezzo per fare il conto al cliente.

Il codice a barre è “lineare” e, contenendo solo una riga di informazioni, poco alla volta ha cominciato ad andare “stretto”: le possibili combinazioni di caratteri e simboli ottenibili con le strisce nere e bianche sono arrivati prossimi all’esaurimento e si è reso necessario trovare una soluzione nuova.

Dal codice a barre “lineare” si è passati a quello “bidimensionale”, sviluppato anche in verticale quindi avente una struttura che si presenta “su più righe”, dunque in grado di incrementare la lunghezza del testo codificato.

Il codice bidimensionale viene normalmente chiamato QR Code o Quick Response Code, ossia codice a risposta rapida.

Il codice lineare poteva essere interpretato da “macchine” che hanno un software specifico e sono collegate in rete con un archivio elettronico indispensabile per “tradurre” le barre e ottenere le informazioni corrispondenti.

Il QR code invece può essere letto da qualunque smartphone con la semplice inquadratura con l’obiettivo fotografico incorporato nel telefonino. L’immagine – quel quadrato con strani puntini e righe – viene automaticamente trascodificata in una stringa di caratteri alfanumerici. La sequenza di lettere e cifre può essere un indirizzo Internet o qualcos’altro.

Nel primo caso lo smartphone si collega all’indirizzo web corrispondente e ne visualizza il contenuto.

Queste immagini quadrate, con una serie di moduli neri su fondo bianco, le ritroviamo anche su giornali, riviste, manifesti, nei musei o incollate alle vetrine di negozi e ristoranti. Grazie a loro non c’è più bisogno di stampare depliant, avvisi o istruzioni per l’uso. Il riquadro in un attimo fa apparire sullo schermo tutto quel che l’utente dello smartphone vuole sapere.

Nel secondo può trattarsi – ad esempio – di qualche istruzione o comando informatico che viene eseguito non appena il dispositivo ne completa la lettura e l’interpretazione.

Comodità e vantaggi hanno purtroppo un rovescio della medaglia. Quindi bisogna esser pronti a non finire nel mirino di chi sa come sfruttare questo genere di soluzione tecnologica per trarre indebitamente profitto o semplicemente per recare danno… Conosciuto il campo di battaglia su cui ci dovremo misurare con i criminali, siamo preparati per scoprire come fanno a fregarci e per imparare adevitarlo.

Tenetevi pronti per la prossima lezione.