Un codi QR és un tipus de codi de barres escaneable per dispositius que està dissenyat per a ser llegit i interpretat instantàniament per un dispositiu digital (permeten una fàcil descodificació amb la càmera d’un Telèfon intel·ligent).

Les cadenes de text que es codifiquen en un codi QR poden contenir diverses dades. L’acció que es produeix en llegir un codi QR depèn de l’aplicació que interactua amb aquest codi, i els codis poden utilitzar-se per a obrir un lloc web, descarregar un arxiu, afegir un contacte, connectar-se a una xarxa Wi-Fi i fins i tot realitzar pagaments, entre moltes altres accions.
No obstant això, aquesta versatilitat pot ser una arma de doble tall.

Què és el QRishing? Com es poden explotar els codis QR per a fer phishing?

El terme QRishing deriva del phishing, la tècnica de suplantació d’identitat per a estafes a Internet. En aquest cas el canal utilitzat per a suplantar la identitat és un codi QR. El gran ús d’aquests codis (i el potencial risc d’un ús indegut) no passa desapercebut per als estafadors, que el poden utilitzar per a:

• Redirigir-te a un lloc web maliciós per a robar informació sensible
  Els atacs de phishing no només es propaguen mitjançant correus electrònics, missatges instantanis o textos. Igual que els atacants poden utilitzar anuncis maliciosos i altres tècniques per a dirigir a les víctimes a llocs fraudulents, poden fer el mateix amb els codis QR.
• Descarregar un arxiu maliciós en el teu dispositiu
  Molts bars i restaurants utilitzen codis QR perquè puguis descarregar un menú en format PDF o instal·lar una aplicació que et permet fer una comanda. Els estafadors podrien manipular fàcilment el codi QR per a enganyar l’usuari i fer que descarregui un arxiu PDF maliciós o una aplicació mòbil fraudulenta.
• Activar accions en el seu dispositiu
  Els codis QR poden desencadenar accions directament en el teu dispositiu, i aquestes accions depenen de l’aplicació que els llegeix (de fet, cal anar amb compte amb les aplicacions falses d’escaneig de codis de barres). No obstant això, hi ha algunes accions bàsiques que qualsevol lector QR bàsic és capaç d’interpretar. Entre elles, connectar el dispositiu a una xarxa Wi-Fi, enviar un correu electrònic o un missatge SMS amb un text predefinit o guardar informació de contacte en el dispositiu. Encara que aquestes accions en si mateixes no tenen caràcter maliciós, podrien utilitzar-se per a fer que un dispositiu es connectés a una xarxa compromesa o enviar missatges en nom de la víctima.
• Desviar un pagament o fer peticions de diners
  Avui dia, la majoria de les aplicacions financeres permeten realitzar pagaments a través de codis QR que contenen dades del destinatari dels diners. No obstant això, un atacant podria modificar aquest QR amb les seves pròpies dades i rebre pagaments en el seu compte. També podria generar codis amb sol·licituds de cobrament de diners per a enganyar els compradors.
• Robar la identitat de l’usuari o l’accés a una aplicació
  Molts codis QR s’utilitzen com a certificat per a verificar la informació d’una persona, com el seu DNI o la seva passada de vacunació. En aquests casos, els codis QR poden contenir informació tan sensible com la continguda en el seu DNI o historial mèdic, que un atacant podria obtenir fàcilment escanejant el codi QR. Sense anar més lluny, moltes aplicacions, com WhatsApp, Telegram o Discord, utilitzen a vegades codis QR per a autenticar les sessions dels usuaris i així permetre’ls accedir als seus comptes. Com ja ha ocorregut amb WhatsApp, amb atacs com el QRLjacking, els atacants poden enganyar un usuari suplantant la identitat del servei i enganyant l’usuari perquè escanegi el QR proporcionat per l’atacant.

Consells per a utilitzar els codis QR amb seguretat

1. Abans d’escanejar un codi QR, comprova que no ha estat manipulat; per exemple, verifica que l’adhesiu del QR no tapa cap altra, com l’original.
2. Evita escanejar codis QR trobats a l’atzar o codis en missatges no sol·licitats.
3. Ves amb compte en utilitzar un codi QR per a pagar una factura o realitzar un altre tipus de transacció financera i, si és possible, considera la possibilitat d’utilitzar una altra opció de pagament.
4. Utilitza els codis QR amb la mateixa precaució que els enllaços o arxius adjunts en correus electrònics o aplicacions de missatgeria.
5. Desactiva l’opció de realitzar accions automàtiques en escanejar un codi QR, com visitar un lloc web, descarregar un arxiu o connectar-se a una xarxa Wi-Fi.
6. Després d’escanejar-ho, mira la URL per a comprovar que és legítima. Així i tot, sovint és millor evitar introduir les teves dades d’accés o informació personal en un lloc al qual has arribat a través d’un codi QR.
7. No comparteixis codis QR que continguin informació sensible, com els utilitzats per a accedir a apps o els inclosos en documents i certificats sanitaris.
8. Quan generis un codi QR, utilitza un servei de confiança. Aquest servei també pot verificar que el QR és autèntic i segur.
9. Recorda’t de mantenir les teves aplicacions actualitzades i d’utilitzar un programari de seguretat.

Des de LISOT, com a empresa de seguretat informàtica, podem ajudar-te a incrementar seguretat en la utilització d’Internet des dels diferents dispositius de la teva empresa per a prevenir qualsevol tipus de phishing.

La entrada Estratègies de QRishing (o com es poden utilitzar els codis QR per a robar els teus diners) se publicó primero en LISOT.