Leggevo qualche giorno addietro che gli spacciatori di malware hanno trovato nuovi modi per attirare gli utenti sui loro server, i quali poi naturalmente cercano di sfruttare le vulnerabilita` note dei browser (o la creduloneria degli utenti) per installare malware sulle macchine (tipicamente smartphone, in questo caso) degli utenti stessi.
I malviventi codificano l’ URL del loro sito in un QR code, ne fanno un adesivo e poi lo appiccicano sopra ai QR code “legittimi” presenti sui manifesti pubbilicitari presenti lungo le strade o sugli autobus o in altri luoghi pubblici. Le persone che vogliono visitare il sito del prodotto pubblicizzato si trovano cosi` nel sito del malvivente.
Anche se non ho ancora avuto notizia di casi di questo tipo in Italia, e` evidente che non ci vuole molto per mettere in atto un piano come questo. Dal momento che il QR code non e` umanamente leggibile, presenta lo stesso rischio che presentano gli URL shortener: quando ti rendi conto che il link e` “anomalo” e` troppo tardi, l’hai gia` visitato.
Il mio consiglio e` di leggere i QR code usando sempre un programma che vi consente di vedere il contenuto del codice prima di decidere se visitare il link oppure no. Questo almeno fino a che qualcuno non scoprira` una vulnerabilita` nel lettore stesso di QR code, che consenta di attaccare il telefono nel momento in cui il codice viene letto, mediante il contenuto del codice stesso.
Lascia un commento