Dopo un anno di restrizioni causate dalla crisi COVID-19, l’ottenimento del Green Pass Vaccinale appare come una delle prime conquiste verso la normalità. Per “festeggiare” tale traguardo, numerosi utenti hanno condiviso e pubblicato il QR Code del proprio pass vaccinale sulle pagine social, inconsapevoli dei dati sensibili contenuti al suo interno e dei possibili rischi di eventuali azioni fraudolente da parte di terzi.
A fare chiarezza su quali informazioni possono essere reperite da un malintenzionato che entra in possesso del QR Code del Pass Vaccinale e su quali sono le conseguenze è ToothPic, startup innovativa made in Torino al servizio della cyber sicurezza. Spin-off del Politecnico di Torino e fondata da Enrico Magli, Diego Valsesia, Giulio Coluccia e Tiziano Bianchi, ToothPic ha inventato, progettato, sviluppato e brevettato una tecnologia MFA (Multifactor Authentication) unica al mondo che permette allo smartphone di diventare una chiave di accesso sicura per l’autenticazione online, sfruttando la firma nascosta e involontaria che lascia ciascuna fotocamera.
“Il QR code del Green Pass contiene una serie di informazioni quali nome, cognome, data di nascita, codice fiscale, numero di vaccinazioni ed eventuali tamponi a cui vi siete sottoposti”, spiegano i fondatori di ToothPic. “Banalmente, ognuno di noi può verificare i dati contenuti all’interno scaricando l’applicazione VerificaC19 messa a disposizione dal Ministero della Salute e dal Ministero per l’Innovazione Tecnologica”.
In quanto dati sensibili e prettamente personali, devono quindi essere mantenuti privati, evitandone la pubblicazione online: questi dati sono una “calamita” per gli utenti malevoli che intendono impossessarsene per scopi mirati alla violazione della privacy come furto d’identità, truffe o, banalmente, profilazione. Una delle operazioni frequentemente perpetrate dagli hacker, vista la quantità di dati sensibili presenti sul QR code, è il furto d’identità. In questo caso il malfattore è in grado di operare sotto falsi connotati riuscendo spesso ad acquisire ulteriori dati come le credenziali del conto bancario.
“Condividere il QR code del proprio Green Pass non è l’unica azione pericolosa che sarebbe meglio non fare con leggerezza. Occorre anche fare molta attenzione a leggere QR code pubblicati da altri, non necessariamente legati a un Green Pass. I QR code, infatti, possono portarci a cliccare su link che puntano a contenuti potenzialmente malevoli”, aggiungono gli esperti di ToothPic.
Una delle pratiche maggiormente utilizzate per impossessarsi dei dati altrui tramite il QR code è quella legata al phishing. In questo caso, il QR code contiene un link di phishing che solitamente punta ad una pagina in cui vengono richieste le credenziali per accedere a un determinato sito. “In questo modo, l’utente è in grado di impossessarsi dei vostri account come quello bancario, posta e social network”.
Inoltre, molti degli attacchi legati alla scansione QR code avvengono tramite i dispositivi mobile privati o aziendali, spesso meno protetti o aventi un livello di sicurezza molto basso che non è in grado di bloccare anticipatamente siti malevoli.
“Essendo quindi attività frequentemente perpetrate dagli hacker, oltre a non pubblicare il vostro QR code del vostro Green Pass, vi ricordiamo di prestare molta attenzione a scansionare QR code pubblicati da terzi”.
Per evitare di incorrere in tali rischi, ToothPic condivide infine 4 consigli:
1. Non autosabotarsi. Non pubblicare il QR code del proprio Green Pass sui profili social ed evitare di condividerlo con terzi se non strettamente necessario.
2. Esibire il Green Pass esclusivamente a chi è autorizzato a verificarne le informazioni presenti al suo interno, quali pubblici ufficiali, personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o in pubblici esercizi, proprietario di luoghi o locali, gestori delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali*.
3. Nel caso in cui il proprio dispositivo non sia munito di un lettore QR code nativo, prestare attenzione all’applicazione che si scarica per leggere i QR code: spesso dietro ad esse si celano app malevole.
4. Cambiare spesso le credenziali dei propri account e utilizzare l’autenticazione multifattore, quando è disponibile.
Fonte: https://www.dgc.gov.it/web/app.html