QR sota el domini de l'ajuntament
Si tots els codis oficials surten de aj.elmunicipi.cat, el ciutadà té una referència clara. Un adhesiu que porti a un altre domini queda en evidència.
És l'exemple més citat de quishing a Espanya i el més fàcil d'entendre: un adhesiu amb un codi QR fals, enganxat damunt del codi legítim d'un parquímetre. Qui vol pagar l'aparcament escaneja de bona fe i acaba deixant les dades de la targeta en una web que imita la de l'ajuntament. INCIBE ho ha documentat com un dels vectors més habituals.
L'estafador imprimeix un QR que apunta a una web controlada per ell i l'enganxa exactament sobre el codi legítim del parquímetre. Visualment és indistingible.
El codi porta a una pàgina que copia l'aparença de l'ajuntament o de la passarel·la de pagament, amb el logo i els colors correctes.
El conductor «paga l'aparcament» i lliura, sense saber-ho, les dades de la targeta. El pagament real de l'estacionament ni tan sols s'arriba a fer.
El mateix patró s'ha vist, segons INCIBE, en terrasses i carregadors elèctrics: qualsevol lloc on un QR convida a pagar és un objectiu.
L'Institut Nacional de Ciberseguretat ha alertat del frau amb codis QR i n'ha assenyalat aquest com el vector més comú a Espanya: adhesius falsos enganxats sobre QR legítims de parquímetres, terrasses i carregadors elèctrics, suplantant webs d'ajuntaments i passarel·les de pagament. Fem servir la font institucional expressament: és una constatació d'un organisme públic, no una xifra d'un venedor de seguretat.
INCIBE — códigos QR fraudulentos ↗ · INCIBE — avís de campanya de quishing ↗
Comencem pel que és honest: ningú pot impedir físicament que algú enganxi un adhesiu. El que sí que es pot canviar és qui pot demostrar què és legítim.
Si tots els codis oficials surten de aj.elmunicipi.cat, el ciutadà té una referència clara. Un adhesiu que porti a un altre domini queda en evidència.
Amb un QR firmat, el tècnic municipal, el periodista o el ciutadà amoïnat poden comprovar amb un verificador públic que el codi legítim és de l'ajuntament. L'adhesiu fals no passa la comprovació.
Explicar als ciutadans que els codis es poden verificar i revisar periòdicament el mobiliari urbà per detectar adhesius sobreposats. La tecnologia acompanya; no substitueix la vigilància.
Diguem-ho clar: un QR firmat no impedeix l'atac —l'estafador sempre podrà imprimir el seu propi codi—, però impedeix que l'atac es faci passar per l'ajuntament davant de qui es molesti a comprovar-ho. És una capa de confiança i de resposta a l'incident, no un antivirus.
L'estafador imprimeix un adhesiu amb un codi QR i l'enganxa sobre el QR legítim del parquímetre. Qui vol pagar l'aparcament escaneja el codi fals, arriba a una web que imita la de l'ajuntament o la passarel·la de pagament, i hi introdueix les dades de la targeta, que acaben en mans del defraudador.
INCIBE ha alertat del frau amb codis QR i n'ha assenyalat el vector més comú a Espanya: adhesius falsos enganxats sobre QR legítims de parquímetres, terrasses i carregadors elèctrics, suplantant webs d'ajuntaments i passarel·les de pagament.
No: ningú pot impedir físicament que algú enganxi un adhesiu. El que aporta un QR firmat i sota el domini de l'ajuntament és que el ciutadà, el tècnic o el periodista poden comprovar que el codi legítim és de l'ajuntament, i que l'adhesiu fals no ho és.
Publicar tots els QR de l'espai públic sota el seu propi domini, firmar-los perquè siguin verificables, comunicar als ciutadans que es poden comprovar i revisar periòdicament el mobiliari urbà per detectar adhesius sobreposats.
Del problema a la resposta operativa.
Firmats, sota el domini de l'ajuntament i amb verificador públic. És la resposta als adhesius falsos dels parquímetres: no impedeix l'atac, però impedeix que suplantin l'administració sense que es noti.