Come funziona la truffa del codice QR falso (QRishing)
Una nuova truffa a base di codici QR colpisce chi scarica buoni sconto. Vediamo come riconoscerla e come evitare di essere colpiti
I pirati informatici tendono ad essere estremamente attenti sui nuovi strumenti che possono utilizzare per realizzare truffe e per infettare i sistemi operativi moderni senza lasciare traccia. La nuova minacca sfrutta i codici QR per portare a termine gli attacchi informatici in Italia e nel mondo, nascondendosi spesso in codici molto innocui o molto cercati dagli utenti (come per esempio i buoni sconto).
Nella guida che segue i mostreremo come viene sfruttato il codice QR per la truffa e cosa possiamo fare per evitare di cascare nella trappola dei malintenzionati. Conviene leggere attentamente tutti i capitoli proposti, visto che questa truffa potrebbe facilmente sostituire le truffe tramite email e SMS.
LEGGI ANCHE -> Riconoscere l'SMS truffa da Poste Info
1) Cosa è il QRishing
Il nuovo attacco informatico viene chiamato QRishing, un nome che è la fusione dei termini QR Code e phishing. L'origine del nome permette di capire bene la natura della minaccia: i malintenzionati realizzano dei codici QR malevoli ben nascosti all'interno di prodotti di uso comune o su buoni sconto disponibili online.
Esattamente come il phishing questa minaccia prende di mira gli utenti poco attenti o desiderosi di accedere a vantaggi, bonus o sconti improvvisi: basta quindi la semplice fotocamera posteriore dello smartphone per dare i via all'attacco informatico, spesso celato dietro una pagina web ben realizzata a puntino per poter accedere successivamente allo sconto promesso.
2) Come viene realizzato l'attacco
L'attacco parte quando iniziamo a scansionare un semplice codice QR fasullo: questo è possibile utilizzando l'app fotocamera del telefono (che mostrerà l'icona del QR dopo aver inquadrato un qualsiasi codice QR conforme alle caratteristiche).
Dopo la scansione verrà mostrato il link web nascosto del codice: cliccando sul codice si aprirà una pagina (nel browser web) con le informazioni sul vantaggio promesso (buono per la spesa o buono sconto); prima di riscattare il buono viene chiesto di inserire i dati della carta di credito o del conto corrente, per verificare l'area geografica a cui apparteniamo.
Ovviamente questa è una truffa bella e buona, nata con il solo scopo di ingannarci: dopo aver inserito le credenziali non riceveremo nessun buono o sconto, mentre il malintenzionato avrà accesso alla nostra carta di credito o al nostro conto, rubandoci tutti i soldi o effettuando transazioni a nostro nome.
Oltre al buono sconto i QR code malevoli possono nascondere pagine web apparentemente innocue con il sito fasullo delle Poste Italiane o il sito di qualche banca famosa: aprendo la schermata nel browser l'utente inesperto potrebbe tranquillamente scambiarla per l'app ufficiale, fornendo quindi i dati d'accesso ai malintenzionati.
Non è raro che i link nascosti dietro i codici QR nascondano anche malware per dispositivi mobile, anche se nella maggior parte dei casi sono solo link a pagine studiate per truffare le persone.
3) Come difendersi dal QRishing
La cautela maggiore sta nell'evitare assolutamente i codici QR abbinati a sconti e promozioni, specie se distribuiti online. Anche se questi codici sono molto utilizzati per le promozioni conviene utilizzare la parte numerica del codice (sempre visibile sui buoni reali), da inserire solo sul sito ufficiale del negozio o sul sito fornito dall'attività promozionale.
Se non vogliamo rinunciare ai codici QR vi consigliamo di aprire i link malevoli solo con browser sicuri ed efficaci (come Mozilla Firefox) o, in alternativa, utilizzare una suite di sicurezza mobile in grado di intercettare i link di phishing nascosti dentro i QR code.
Una buona suite di sicurezza per intercettare i siti web ingannevoli dentro i codici QR è senza ombra di dubbio Avast Antivirus, disponibile gratuitamente per Android e per iPhone.
Se non vogliamo usare Avast possiamo scegliere un buon antivirus per mobile leggendo la nostra guida alle migliori app antivirus e antimalware per Android.
4) Cosa fare in caso di attacco
Il tempismo in questo caso è tutto: chiamiamo subito la banca o le Poste Italiane e chiediamo il blocco del conto, il blocco della carta e il blocco di qualsiasi trasferimento di denaro in sospeso, così da limitare i danni.
Dopo aver messo in salvo il conto conviene rivolgerci alla Polizia di Stato o alla Polizia Postale, utilizzando la pagina per la denuncia dei reati telematici, spiegando cosa è successo e fornendo anche una copia del QR code e del link di cui siamo stati vittime.
Conclusioni
I QR code sono molto utilizzati nel marketing di negozi e di catene d'informatica online per fornire accesso a servizi, vantaggi e sconti, ma dobbiamo prestare molta attenzione a cosa fotografiamo e su cosa clicchiamo: basta davvero poco per ritrovarci coinvolti in una truffa in cui ci hanno svaligiato totalmente il conto in banca o la carta di credito.
Facciamo quindi molta attenzione ai codici QR che scansioniamo e, se siamo a forte rischio truffa, installiamo un antivirus in grado di analizzare i link sospetti presenti nei codici QR, all'interno delle app o all'interno dei messaggi di chat.
Per approfondire possiamo leggere le nostre guide su come riconoscere se un'e-mail è falsa, con truffa, non autentica e come evitare SMS truffa e spam.
Posta un commento
Per commentare, si può usare un account Google / Gmail. Se vi piace e volete ringraziare, condividete! (senza commento). Selezionare su "Inviami notifiche" per ricevere via email le risposte Info sulla Privacy