Codici QR su imballaggi, manifesti o nei bar come trappola di sicurezza?
I codici QR, utilizzati sulle confezioni, sui manifesti o nei bar, sembrano essere una cosa pratica. Inducono l'utente a tenere semplicemente il proprio smartphone davanti a loro. Nonostante i numerosi vantaggi per aziende e consumatori, Chester Wisniewski, esperto di sicurezza di Sophos, consiglia: "Io ne starei alla larga".
È risaputo che le persone tendono a essere convenienti. Perché preoccuparsi di utilizzare un browser con un piccolo display dello smartphone: un codice QR è proprio quello che ci vuole. Le informazioni che servono sul momento sono così rapidamente a portata di mano. Sempre più aziende sfruttano questi vantaggi, ad esempio per fornire ai clienti informazioni aggiuntive sui prodotti o sul loro utilizzo. E come sempre accade, i criminali informatici non sono lontani non appena una tecnologia si afferma nella vita quotidiana. I codici QR possono essere una trappola per la sicurezza: "Quishing" è il nome del tipo di frode che utilizza i codici QR. Sophos ha analizzato la tendenza in questo articolo. Abbiamo intervistato Chester Wisniewski, Direttore e Global Field CTO di Sophos. Risponde alle domande più importanti sulla sicurezza dei codici QR.
I codici QR si stanno diffondendo sempre più nelle vendite, nel marketing e nei sistemi di pagamento. Come si è arrivati a questo sviluppo e in che misura migliorano l'esperienza del cliente?
Chester Wisniewski: A nessuno piace parlare in linguaggio informatico. Il vantaggio di poter utilizzare uno smartphone per ottenere rapidamente informazioni o azioni è una forte motivazione sia per i fornitori che per gli utenti dei codici QR. Questo, unito ai vantaggi ambientali derivanti dal non dover stampare documenti e dal fatto che molte aziende possono incorporare complessi token di tracciamento negli URL, sta contribuendo alla diffusione dei codici QR.
Se da un lato i codici QR offrono un grande valore aggiunto, dall'altro crescono le preoccupazioni sulla loro sicurezza. Quali tipi di frode o attività dannose sono emerse negli ultimi anni e hanno preso di mira gli utenti attraverso i codici QR?
Chiunque può produrre codici QR e non è possibile autenticarli. È necessario un alto livello di fiducia da parte del consumatore che il codice QR che vede al distributore automatico di biglietti del parcheggio o sul tavolino del bar sia autentico. Abbiamo sentito di incidenti, in particolare per quanto riguarda i pagamenti, in cui i truffatori hanno stampato codici QR e li hanno incollati su codici QR autentici per indirizzare le persone a un sito web di phishing per rubare i dati della carta di credito e le informazioni personali.
Ad esempio, quali misure possono adottare i rivenditori per garantire che i codici QR utilizzati in negozio o online siano sicuri e legittimi? Come possono proteggere i loro clienti da potenziali frodi o attacchi di phishing?
I negozi, i rivenditori, i ristoranti, ecc. che utilizzano i codici QR dovrebbero controllarli regolarmente, soprattutto se i codici QR sono esposti al pubblico. Ciò diventa più problematico con i sistemi distribuiti come le biglietterie automatiche dei parcheggi. I consumatori sono invitati a non scansionare codici QR di cui non si fidano veramente e a preferire un altro mezzo di pagamento con meno rischi. Personalmente evito gli sportelli bancomat con tastiere difettose o chiaramente non in condizioni originali; lo stesso potrebbe valere per gli adesivi QR. I codici QR non dovrebbero mai essere utilizzati online, poiché la maggior parte di essi sono solo una forma visiva di un URL. Se volete che qualcuno clicchi su un link, allora dovete usare un link. Ci sono delle eccezioni, ma in genere confermano la regola.
Di quali "bandiere rosse" dovrebbero diffidare i consumatori quando scansionano i codici QR in pubblico o sui prodotti per evitare di cadere vittima dei criminali?
I codici QR trasferiscono un'immagine in un indirizzo web. Quando il codice si apre nel browser, è necessario guardare la barra degli indirizzi e verificare dove l'utente viene indirizzato. Se la destinazione non è gradita, è bene chiudere l'applicazione. Il modo più sicuro per il consumatore? Non scansionare il codice QR. Utilizzate invece il vostro motore di ricerca preferito. Tuttavia, esistono anche applicazioni per dispositivi mobili come Sophos Intercept X, che contengono scanner di codici QR che attirano l'attenzione sui link dannosi.
Uno sguardo al futuro: come si svilupperà il ruolo dei codici QR nella vendita al dettaglio e in altri settori? Diventeranno più sicuri con le nuove tecnologie o la sicurezza rimarrà una sfida?
Non vedo un miglioramento della sicurezza dei codici QR. Sono stati originariamente sviluppati per le macchine e non per le persone che li utilizzano nella vita quotidiana. L'autenticazione dei codici QR è un compito che non può essere risolto così facilmente. Idealmente, i codici QR dovrebbero essere incorporati in modo stabile e visibile nei poster, nelle confezioni dei prodotti, ecc. e non essere semplicemente un adesivo appiccicato da qualche parte. In ultima analisi, tuttavia, la responsabilità è del consumatore: Se un codice QR sembra strano, è meglio tenerlo lontano e affidarsi a un metodo di recupero delle informazioni o di pagamento sicuro e collaudato.
