1. Un adhesiu enganxat a sobre
El senyal número u. INCIBE ha documentat que el frau més comú amb QR a Espanya és un adhesiu fals sobreposat a un codi legítim. Si notes una etiqueta enganxada per damunt d'una altra, no l'escanegis.
La veritat incòmoda primer: un QR fals i un de legítim són idèntics com a imatge. No hi ha cap detall visual del quadrat de píxels que et digui si és de fiar. Però l'atac deixa pistes a l'entorn i a la destinació. Aquí tens els senyals que sí que ajuden —i, si ets tu qui emet codis, la manera de fer que la teva marca sigui comprovable.
El senyal número u. INCIBE ha documentat que el frau més comú amb QR a Espanya és un adhesiu fals sobreposat a un codi legítim. Si notes una etiqueta enganxada per damunt d'una altra, no l'escanegis.
En obrir l'enllaç, mira el domini abans de fer res més. Si esperes l'ajuntament o el teu banc i el domini és estrany, escurçat o amb faltes, tanca-ho.
«Paga ara o t'apliquem un recàrrec.» La pressa és l'eina clàssica del frau: t'empeny a no comprovar el domini ni el mètode de pagament habitual.
Un menú o un horari no necessiten la teva targeta ni el teu DNI. Si un QR de context innocent salta directament a un formulari de dades sensibles, desconfia.
Logotips estirats, tipografies que no encaixen, un QR imprès en un paper diferent de la resta. La falsificació sol tenir petites escletxes.
Si en escanejar passes per diverses redireccions abans d'arribar enlloc, és un patró habitual per despistar. Un verificador et mostra la cadena completa.
Els codis d'una marca cuidadosa es poden verificar. Si no hi ha cap manera de confirmar l'origen, tracta'l amb la mateixa prudència que un enllaç d'un desconegut.
Val la pena ser francs: la recerca sobre comportament d'usuaris és consistent a dir que la majoria de gent no comprova res abans d'escanejar, i que les advertències del navegador s'ignoren molt sovint. Una llista de bones pràctiques ajuda, però no soluciona el problema de fons, perquè depèn que cada persona s'aturi a mirar en el pitjor moment.
Per això el pes real de la defensa no recau en el ciutadà que escaneja, sinó en l'organització que emet els codis. Si els teus QR es poden verificar, dones una resposta objectiva quan hi ha un incident: un periodista, un tècnic municipal o un client amoïnat sí que ho comprovaran, i tu pots dir «el nostre codi es pot verificar; aquell no».
No pots impedir que algú imprimeixi un QR fals. Sí que pots fer que la seva imitació es delati.
Que tots els teus codis surtin del teu domini. L'usuari veu la teva marca a l'adreça, no un escurçador anònim.
Cada codi porta una firma que només la teva clau pot generar. Una còpia sense firma vàlida no passa la comprovació.
Amb el verificador de Qmarque, qualsevol comprova al seu navegador si un codi l'has emès tu, sense app ni compte.
No sempre es pot saber a simple vista: un QR fals i un de legítim són idèntics com a imatge. Els senyals més fiables són l'entorn (un adhesiu enganxat sobre un altre codi, un cartell manipulat) i el domini de destinació: si en obrir l'enllaç el domini no coincideix amb l'organització que esperes, atura't.
Sí. INCIBE ha documentat que el vector més comú de frau amb QR a Espanya són precisament adhesius falsos enganxats sobre codis legítims de parquímetres, terrasses i carregadors. Si notes un adhesiu sobreposat, no l'escanegis i avisa el responsable del lloc.
De vegades, però no s'hi pot confiar: molts usuaris ignoren les advertències del navegador i les webs de phishing recents encara no estan a les llistes de bloqueig. Comprovar el domini a mà segueix sent la teva millor eina.
Publica els teus codis sota el teu propi domini i firma'ls, de manera que qualsevol pugui comprovar amb un verificador públic que el codi l'has emès tu. No impedeix que algú imprimeixi un QR fals, però sí que la seva imitació es delati en verificar-la.
Més sobre el quishing i com respondre-hi.
Amb Qmarque, cada codi pot anar firmat i sota el teu domini. Quan surti el pròxim cas de QR fals a les notícies, tu podràs dir: «els nostres es poden verificar».