Come distinguere un QR code vero da uno falso?

 

Ecco i trucchi che usano gli scammer per derubare i possessori di criptovalute

Quando il team del wallet ZenGo decise di aggiungere il supporto ai QR Code, pensò bene di fare prima una piccola ricerca riguardo gli aspetti legati alla sicurezza di questa modalità di comunicazione.

I risultati cui sono pervenuti sono abbastanza inquietanti, anche se non del tutto inaspettati.

I QR Code, per chi non li conoscesse, sono quei simboli grafici che possono essere scansionati da lettori o smartphone per comunicare l’indirizzo cui spedire un pagamento in bitcoin o altre criptovalute.

Citando il sito Criptocurrencyfacts.com:

“Un QR code è una semplice, rapida e sicura modalità di comunicare un indirizzo bitcoin nel momento in cui si trasferiscono criptovalute da un dispositivo ad un altro”.

“Questo è particolarmente utile in casi di compravendite che avvengono presso negozi fisici, in quanto il copia-incolla in questi casi non è possibile ed il QR Code evita di dover comporre lunghi codici alfanumerici”.

Falsificare un QR Code è piuttosto semplice

Il problema è abbastanza ovvio: chiunque può generare un QR Code che invia i bitcoin al proprio indirizzo anziché a quello voluto dall’acquirente, e la differenza è pressochè impossibile da notare per un essere umano.

Per esempio il team ZenGo ha utilizzato un sito trovato con una ricerca su Google per generare un QR Code per l’indirizzo: 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4

Sorpresa sorpresa, il QR Code generato indicava invece l’indirizzo dello scammer: 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx

 

Gli scammer stanno diventando (ancor più) creativi

Cosa interessante, la ricerca ha rivelato che alcuni scammer hanno alzato la posta utilizzando alcuni trucchi molto creativi.

Alcuni dei siti che producevano QR Code falsi facevano in modo di produrre QR Code che ad uno sguardo superficiale sembravano corretti, riprendendo il primo numero o carattere dell’indirizzo corretto, come “1”, “3” o “bc”.

Altre sofisticazioni del codice sorgente dei siti facevano in modo che nel momento in cui si effettuava la copia dell’indirizzo generato, esso risultasse uguale al codice inserito dall’utente, risultando corretto se confrontato in questa maniera con il codice originale.

Il team di ZenGo ha scoperto un ammontare di circa 20mila euro in bitcoin negli indirizzi monitorati a seguito della scoperta, ma la convinzione è che si tratti solo della punta dell’iceberg.

Qualche consiglio per proteggere i propri bitcoin

Gli autori della ricerca raccomandano di:

  • Non cercare su Google “QR Code generators” o simili. In alternativa utilizzare un sito conosciuto come il proprio block explorer preferito, oppure chiedere ad un amico di raccomandare un sito;
  • Prima di condividere il QR Code generato sul proprio sito, utilizzarlo per una piccola transazione per vedere dove finiscono i fondi trasferiti;
  • Utilizzare servizi di “rilevamento minacce” come add-on per browser di cui un esempio è Cryptonite di MetaCert. Essi tuttavia non sono in grado di rilevare tutte le minacce, per cui sono da utilizzare con criterio e buon senso.

Si apre così una nuova strada per i truffatori

Tal Be’ery di ZenGo scrive: “I QR Code sono un metodo molto semplice per scambiare dati. Tuttavia, dato il fatto che non sono leggibili da un essere umano, essi aprono una nuova strada per i truffatori”.

“La truffa può avvenire dal lato del ricevente, come mostrato poc’anzi, ma anche dal lato di chi invia denaro se il mittente utilizza un wallet malevolo o un buon wallet ma con un’implementazione del sistema di generazione dei QR Code malevola”.

“Siamo convinti che sentiremo parlare di più di frodi legate ai QR Code in futuro e che la comunità delle criptovalute deve risolvere questi problemi e trovare contromisure migliori”.

Le frodi effettuate mediante QR Code sono ben conosciute nel mondo delle cripto

Malwarebytes aveva descritto in Luglio le azioni di truffatori che avvicinavano persone nei parcheggi di due città in Olanda, offrendo loro 5$ se avessero pagato utilizzando un QR Code e la loro app legata ad un conto corrente online.

Il QR Code dava loro accesso al conto corrente della vittima che poi si affrettavano a svuotare.

In Cina, alcuni scammer rimpiazzavano i QR Code degli stalli per il bike sharing con i loro.

Questo generava un gran volume di piccole transazioni, che gli utenti tipicamente ignoravano quando la bici non si sbloccava, assumendo che la transazione non fosse partita e passando alla bicicletta successiva.

In Canada, i truffatori hanno invece preso di mira i Bancomat Bitcoin con cartelli che avvisavano che la macchina era rotta e suggerivano di utilizzare i loro QR Code per completare la transazione.

Per finire, quindi, un consiglio: controllate sempre che il QR Code che state scannerizzando non sia stato appiccicato sopra un altro.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *