Consumers should be wary of any QR code provided by an unknown source; such codes should be treated like unknown hyperlinks.

In February, many viewers of the 2022 Super Bowl noticed an unusual commercial for Coinbase, an American cryptocurrency company. For most of the 60-second ad, a QR code floated slowly across a black background, bouncing from one corner of the TV screen to another. Designed to look like an old screensaver, the ad contained music but no dialogue. The identity of the advertiser was not revealed until the final seconds of the commercial. Viewers who pointed their smartphones at their screens and scanned the QR code were taken to a promotion on the Coinbase website.

As a result of the commercial, Coinbase’s website received more than 20 million hits in one minute and the company’s app crashed. The ad also sparked conversation on social media and in the press, with many praising the ad’s creativity and effectiveness. Among fraud and cybersecurity experts, however, there was a decidedly different reaction. For them, the ad revealed that millions of consumers were willing to scan a QR code from an unknown source, which raised concerns about QR code fraud.

QR Codes Explained
A quick response (QR) code is a square barcode that can be read by certain devices, such as smartphone cameras. Most QR codes look like black squares arranged in a square grid on a white background. Typically, QR codes are used like hyperlinks to provide quick access to websites. For example, when viewers of the Coinbase Super Bowl ad scanned the QR code on their TVs, their smartphone browsers opened the Coinbase website.

Promotional QR codes are everywhere — online, in papers and magazines, on billboards and posted on telephone poles. Scanning these physical or digital QR codes will generally take consumers to the advertiser’s website. However, not all QR codes are used for promotion. During the COVID-19 pandemic, for example, restaurants began using QR codes to direct customers to an online version of their menus.
It is becoming more common for businesses to email QR codes to their customers. Amazon uses emailed QR codes to facilitate returns and exchanges. Consumers can also use emailed QR codes to confirm reservations at restaurants, hotels, as concert tickets or to get boarding passes at airports.

Some businesses use QR codes to facilitate payments. These companies might provide customers with a QR code that directs them to a webpage where they can complete a payment transaction. Both Paypal and Venmo allow users to scan QR codes as part of the payment process.

QR Code Fraud
The most common type of QR code fraud operates like a phishing scheme. Fraudsters create a fraudulent QR code, or manipulate a legitimate QR code, to direct consumers to a malicious website that will steal their money or information. These fraudulent QR codes might be encountered online, in emails, text messages or anywhere in the physical world.

Earlier this year, scammers placed fraudulent QR code stickers on more than two dozen parking meters in Austin, Texas. Drivers who tried to use the QR code to pay the parking meter were directed to a website operated by an unknown party — in fact, parking meters cannot be paid via QR code in Austin. In other schemes, fraudsters have covered legitimate QR codes with fraudulent QR code stickers.

In the digital space, QR code fraud often begins with an email, text message or social media post that uses social engineering techniques to convince the user to scan the code. The message may claim to be from a trusted company or financial institution. Users who scan the code are directed to a malicious website that looks legitimate but is designed to steal their money or information.

In another type of scheme, fraudsters use QR codes to expose the user’s device to malware. The QR code might direct the user to a malicious website that downloads the malware onto their device, or the malware might be embedded in the QR code itself. Once the malware has infected the device, fraudsters can steal the user’s information.

Best Practices for Avoiding QR Code Fraud
Like traditional phishing schemes, QR code fraud relies on the misplaced trust of consumers. Therefore, the best protection is healthy skepticism of QR codes. Consumers should be wary of any QR code provided by an unknown source; such codes should be treated like unknown hyperlinks. In other words, do not scan the code if you are uncertain of its source.

There are many other things consumers can do to avoid QR code fraud. The FBI issued a public service announcement in January warning consumers about QR code fraud. The announcement contained the following tips:

  • Once you scan a QR code, check the URL to make sure it is the intended site and looks authentic. A malicious domain name may be similar to the intended URL but with typos or a misplaced letter.
  • Practice caution when entering login, personal or financial information from a site navigated to from a QR code.
  • If scanning a physical QR code, ensure that the code has not been tampered with, such as with a sticker placed on top of the original code.
  • Do not download an app from a QR code. Use your smartphone’s app store for a safer download.
  • If you receive an email from a company stating that a recent payment failed and you can only complete the payment through a QR code, call the company to verify.
  • Locate the company’s phone number through a trusted site rather than a number provided in the email.
  • Do not download a QR code scanner app. This increases your risk of downloading malware onto your device. Most phones have a built-in scanner through the camera app.
  • If you receive a QR code that you believe to be from someone you know, reach out to them through a known number or address to verify that the code is from them.
  • Avoid making payments through a website navigated to from a QR code. Instead, manually enter a known and trusted URL to complete the payment.

According to Coinbase, its floating QR code Super Bowl commercial was an unqualified success. The ad drove millions of consumers to the company’s website and increased brand awareness. It also illustrated that consumers are probably too willing to scan QR codes provided by unknown sources. Hopefully, the conversation surrounding the ad raised awareness of QR code fraud and created some healthy skepticism.

Authors:

Ron Cresswell, J.D., CFE

Senior Research Specialist, Association of Certified Fraud Examiners

https://www.acfe.com/fraud-resources/fraud-examiner-archives/fraud-examiner-article?s=March-2022-TFE-QR-Fraud

Una risposta

  1. Aggiungiamo la traduzione in italiano:
    I consumatori dovrebbero diffidare di qualsiasi codice QR fornito da una fonte sconosciuta; Tali codici devono essere trattati come collegamenti ipertestuali sconosciuti.
    A febbraio, molti spettatori del Super Bowl 2022 hanno notato uno spot insolito per Coinbase, una società americana di criptovaluta. Per la maggior parte dell’annuncio di 60 secondi, un codice QR fluttuava lentamente su uno sfondo nero, rimbalzando da un angolo all’altro dello schermo TV. Progettato per assomigliare a un vecchio screensaver, l’annuncio conteneva musica ma nessun dialogo. L’identità dell’inserzionista non è stata rivelata fino agli ultimi secondi dello spot. Gli spettatori che hanno puntato i loro smartphone verso i loro schermi e scansionato il codice QR sono stati portati a una promozione sul sito Web di Coinbase.

    Come risultato dello spot, il sito Web di Coinbase ha ricevuto oltre 20 milioni di visite in un minuto e l’app dell’azienda si è bloccata. L’annuncio ha anche scatenato conversazioni sui social media e sulla stampa, con molti che hanno elogiato la creatività e l’efficacia dell’annuncio. Tra gli esperti di frodi e cybersecurity, invece, c’è stata una reazione decisamente diversa. Per loro, l’annuncio ha rivelato che milioni di consumatori erano disposti a scansionare un codice QR da una fonte sconosciuta, il che ha sollevato preoccupazioni sulla frode del codice QR.

    Spiegazione
    dei codici QR Un codice a risposta rapida (QR) è un codice a barre quadrato che può essere letto da determinati dispositivi, come le fotocamere degli smartphone. La maggior parte dei codici QR sembrano quadrati neri disposti in una griglia quadrata su sfondo bianco. In genere, i codici QR vengono utilizzati come collegamenti ipertestuali per fornire un rapido accesso ai siti Web. Ad esempio, quando gli spettatori dell’annuncio del Super Bowl di Coinbase hanno scansionato il codice QR sui loro televisori, i loro browser per smartphone hanno aperto il sito Web di Coinbase.

    I codici QR promozionali sono ovunque: online, su giornali e riviste, su cartelloni pubblicitari e affissi sui pali del telefono. La scansione di questi codici QR fisici o digitali generalmente porterà i consumatori al sito Web dell’inserzionista. Tuttavia, non tutti i codici QR vengono utilizzati per la promozione. Durante la pandemia di COVID-19, ad esempio, i ristoranti hanno iniziato a utilizzare i codici QR per indirizzare i clienti a una versione online dei loro menu.
    Sta diventando sempre più comune per le aziende inviare codici QR via e-mail ai propri clienti. Amazon utilizza codici QR inviati via email per facilitare resi e cambi. I consumatori possono anche utilizzare i codici QR inviati via e-mail per confermare le prenotazioni presso ristoranti, hotel, come biglietti per concerti o per ottenere carte d’imbarco negli aeroporti.

    Alcune aziende utilizzano i codici QR per facilitare i pagamenti. Queste aziende potrebbero fornire ai clienti un codice QR che li indirizza a una pagina Web in cui possono completare una transazione di pagamento. Sia PayPal che Venmo consentono agli utenti di scansionare i codici QR come parte del processo di pagamento.

    Frode
    con codice QR Il tipo più comune di frode con codice QR funziona come uno schema di phishing. I truffatori creano un codice QR fraudolento o manipolano un codice QR legittimo per indirizzare i consumatori a un sito Web dannoso che ruberà i loro soldi o informazioni. Questi codici QR fraudolenti potrebbero essere incontrati online, in e-mail, messaggi di testo o in qualsiasi parte del mondo fisico.

    All’inizio di quest’anno, i truffatori hanno inserito adesivi fraudolenti con codice QR su oltre due dozzine di parchimetri ad Austin, in Texas. I conducenti che hanno cercato di utilizzare il codice QR per pagare il parchimetro sono stati indirizzati a un sito Web gestito da una parte sconosciuta – infatti, i parchimetri non possono essere pagati tramite codice QR ad Austin. In altri schemi, i truffatori hanno coperto codici QR legittimi con adesivi fraudolenti con codici QR.

    • Una volta scansionato un codice QR, controlla l’URL per assicurarti che sia il sito previsto e che sia autentico. Un nome di dominio dannoso può essere simile all’URL desiderato ma con errori di battitura o una lettera fuori posto.
    • Prestare attenzione quando si inseriscono informazioni di accesso, personali o finanziarie da un sito navigato da un codice QR.
    • Se si esegue la scansione di un codice QR fisico, assicurarsi che il codice non sia stato manomesso, ad esempio con un adesivo posizionato sopra il codice originale.
    • Non scaricare un’app da un codice QR. Usa l’app store del tuo smartphone per un download più sicuro.
    • Se ricevi un’e-mail da un’azienda che indica che un pagamento recente non è riuscito e puoi completare il pagamento solo tramite un codice QR, chiama l’azienda per verificare.
    • Individua il numero di telefono dell’azienda tramite un sito attendibile anziché un numero fornito nell’e-mail.
    • Non scaricare un’app per la scansione di codici QR. Ciò aumenta il rischio di scaricare malware sul dispositivo. La maggior parte dei telefoni ha uno scanner integrato tramite l’app della fotocamera.
    • Se ricevi un codice QR che ritieni provenga da qualcuno che conosci, contattalo tramite un numero o un indirizzo noto per verificare che il codice provenga da loro.
    • Evita di effettuare pagamenti tramite un sito Web navigato da un codice QR. Inserisci invece manualmente un URL noto e attendibile per completare il pagamento.
    Secondo Coinbase, il suo spot galleggiante del Super Bowl con codice QR è stato un successo incondizionato. L’annuncio ha indirizzato milioni di consumatori sul sito Web dell’azienda e ha aumentato la consapevolezza del marchio. Ha anche dimostrato che i consumatori sono probabilmente troppo disposti a scansionare codici QR forniti da fonti sconosciute. Si spera che la conversazione che circonda l’annuncio abbia aumentato la consapevolezza della frode dei codici QR e creato un sano scetticismo.

Lascia un commento