Dirottamento tramite reindirizzamento QR: l'intermediario invisibile

Ogni QR dinamico che hai mai scansionato coinvolgeva una terza parte che non hai mai scelto. Tra la fotocamera del telefono e il sito di destinazione, un server di reindirizzamento di proprietà del fornitore del QR ha inoltrato la richiesta in silenzio. La maggior parte degli utenti non lo nota. È proprio questo il punto.

Questo articolo spiega come il dirottamento tramite reindirizzamento appare nella pratica, cosa fa davvero l'intermediario e cosa è in gioco.

La sequenza del reindirizzamento

Quando scansioni un QR statico per https://shop.example.com:

1. La fotocamera legge il QR
2. Il sistema operativo lo riconosce come URL
3. Il browser apre https://shop.example.com

Tre passaggi. Nessuna terza parte.

Quando scansioni un QR dinamico verso la stessa destinazione:

1. La fotocamera legge il QR, che codifica qualcosa come https://qr-provider.com/r/x7n2
2. Il sistema operativo apre quella URL
3. qr-provider.com riceve una richiesta, la logga, cerca x7n2 nel database
4. qr-provider.com emette un reindirizzamento 301 o 302 a https://shop.example.com
5. Il browser segue il reindirizzamento e arriva alla destinazione reale

Cinque passaggi. Una parte in più al passaggio 3 — una che non hai mai accettato, mai pagato e che non vedi.

Cosa ottiene l'intermediario

Ogni scansione produce una voce di log server che contiene:

• Timestamp della scansione
• Indirizzo IP dello scanner
• Stringa user-agent (dispositivo, OS, browser)
• Header Referrer (da dove è arrivato lo scanner, se applicabile)
• Header Accept-Language (lingua preferita)

Da qui il fornitore deduce: posizione geografica approssimativa, tipo di dispositivo, versione del sistema operativo e, in aggregato, pattern di scansione nel tempo. Ai clienti viene venduto come "analisi". È ugualmente sorveglianza delle persone che scansionano i tuoi codici — che non hanno mai acconsentito.

Cosa può fare l'intermediario

Cambiare la destinazione

La destinazione del reindirizzamento vive nel database del fornitore. Il proprietario del QR di solito può modificarla da una dashboard. È venduta come funzionalità e per alcuni casi lo è davvero. Ma significa che il QR non è più ciò che sembra. L'oggetto fisico dice "scansiona per visitare il nostro sito". Il comportamento reale è ciò che il database del fornitore dice oggi.

Disattivare il reindirizzamento

Se l'abbonamento del proprietario scade, l'account viene chiuso o i termini del servizio violati, il reindirizzamento può essere rimosso. Ogni copia stampata del QR smette di funzionare all'istante. Lo scanner vede una pagina di errore generica o un 404.

Inserire una pagina intermedia

Alcuni fornitori fanno passare le scansioni dei QR dinamici per una pagina intermedia con brand proprio prima del reindirizzamento finale — mostrando pubblicità, chiedendo consenso, raccogliendo email. Il proprietario del QR di solito non ha firmato per questo. Viene aggiunto più tardi, man mano che il fornitore monetizza in modo più aggressivo.

Vendere o perdere i dati di scansione

I log di scansione hanno valore. Sono stati venduti a broker di analytics, usati per addestrare modelli di targeting pubblicitario e — in almeno alcuni incidenti documentati — fatti trapelare quando i fornitori sono stati compromessi. I tuoi clienti hanno scansionato un menu; ora la fingerprint del loro dispositivo vive in un dataset di leak.

Perché gli utenti non lo notano mai

I browser moderni seguono i reindirizzamenti automaticamente. Senza gli strumenti di sviluppo aperti, il salto intermedio non si vede. La scansione sembra istantanea perché un reindirizzamento è veloce (quando funziona). Dal punto di vista dell'utente, un QR dinamico si comporta in modo identico a uno statico.

Finché il server di reindirizzamento non fallisce. Allora l'esperienza diverge bruscamente — ma a quel punto il QR è già stampato su mille superfici.

Implicazioni per la sicurezza

Un server di reindirizzamento è un singolo punto di guasto per ogni QR che ne dipende. Tre superfici d'attacco da considerare:

• Presa di possesso dell'account. Se un attaccante ottiene l'accesso all'account del proprietario presso il fornitore, può reindirizzare ogni QR a una pagina di phishing. I clienti scansionano il codice fisico aspettandosi il menu del ristorante; atterrano su un clone che raccoglie credenziali.
• Compromissione del fornitore. Se il fornitore stesso viene violato, ogni QR dinamico in circolazione è potenzialmente ripuntato su contenuti controllati dall'attaccante. Non è teoria — esistono divulgazioni di violazioni presso più fornitori QR-as-a-service.
• Guasto DNS o TLS presso il fornitore. Se il dominio di reindirizzamento smette di risolvere o il certificato TLS scade, ogni QR dipendente fallisce. Nessun attore malintenzionato — solo un normale rischio operativo che il proprietario del QR non controlla.

I QR statici non hanno nessuna di queste modalità di guasto, perché non c'è alcun server di terzi tra la scansione e la destinazione.

Come verificare se stai scansionando un reindirizzamento

Usa uno scanner che mostra il contenuto decodificato prima di aprirlo — il nostro scanner web lo fa. Scansiona il QR e osserva la URL decodificata. Se è la tua destinazione reale, il QR è statico. Se è qualcosa come qrco.de/xyz o un dominio corto che non riconosci, è un reindirizzamento — e c'è un terzo in mezzo.

L'alternativa

Genera QR che codificano la destinazione direttamente. Niente server di terzi, niente log di reindirizzamento, niente abbonamento. Confronto completo in QR statici vs dinamici, e perché il modello dell'intermediario domina il settore in La verità sulle truffe con i QR.

O semplicemente genera un QR statico e smetti di preoccuparti.