Nell’ultimo anno le truffe online anche tramite smartphone utilizzando i QR Code “Quishing” sono sempre più diffuse ed essendo nuove tipologie di truffe online stanno mietento moltissime vittime sia tra i giovani che meno giovani, è importante quindi comprendere come funzionano le truffe tramite i QR Code “Quishing” quali dati possono rubare e cosa fare per difendersi ed evitare di cadere in queste nuove truffe.
Truffe QR Code “Quishing” sempre più diffuse, come funzionano e come difendersi
Nell’ambiente in costante evoluzione del cybercrime, gli attori malintenzionati continuano a scoprire nuovi modi per sfruttare le tecnologie moderne a proprio vantaggio. I codici QR, in passato considerati innocui, rappresentano ora l’ultima aggiunta all’arsenale degli hacker, aprendo le porte a una nuova era di attacchi di phishing. È in questo contesto che prende forma l’era del “quishing.”
Il phishing, termine ampiamente riconosciuto nel campo della sicurezza informatica, rappresenta una forma di ingegneria sociale adottata da individui senza scrupoli per manipolare le persone e indurle a divulgare informazioni sensibili, come nomi utente, password o persino a installare software dannoso. Nel corso degli anni, il phishing ha assunto varie forme, e l’ultima incarnazione coinvolge l’uso di codici QR, dando origine al fenomeno noto come “quishing.”
Se la società responsabile del QR code avesse intenzioni malevole, la scansione potrebbe condurre al download automatico di ransomware sul dispositivo dell’utente. Il quishing, in sostanza, è un tentativo di ingannare gli individui facendo loro credere che un’azione sia inoffensiva o addirittura essenziale, quando in realtà cela intenzioni malevole. L’obiettivo finale è ottenere accesso alle informazioni personali, rubare le credenziali bancarie e perpetrare altri atti dannosi.
I codici QR hanno infiltrato ogni aspetto della nostra vita quotidiana, diventando una presenza comune in ristoranti, mezzi di trasporto pubblico, pubblicità e addirittura sulle confezioni dei prodotti. Accettati ampiamente, questi codici sono diventati parte integrante della nostra esperienza quotidiana, e spesso ci fidiamo del loro contenuto, apparentemente impenetrabile a occhio nudo, che si cela dietro la scacchiera di punti bianchi e neri.
I criminali informatici sono consapevoli di questa fiducia generalizzata e sfruttano il fatto che la maggior parte dei consumatori presume che i codici QR siano innocui. Gli utenti di telefonia mobile, in particolare, rappresentano un bersaglio ideale, poiché a differenza dei sistemi operativi desktop, i loro dispositivi non dispongono di protezione specifica contro il phishing.
Attualmente, la maggior parte degli attacchi di quishing coinvolge criminali informatici che inviano codici QR attraverso e-mail. Tipicamente, queste e-mail si camuffano con richieste urgenti di verifica dell’account, avvertendo i destinatari di un possibile blocco imminente in caso di mancata azione tempestiva.
L’approccio è semplice: un individuo visualizza il QR code nella mail dal proprio computer e lo scannerizza con il telefono, concedendo così libero accesso al dispositivo, che contiene informazioni personali, comprese quelle conservate nelle applicazioni bancarie. Tuttavia, il potenziale sfruttamento dei codici QR si estende ben oltre il contesto delle e-mail.
Niente impedisce a un criminale informatico di posizionare questi codici in spazi pubblici, sfruttando la curiosità delle persone che li incontrano.
Un approccio prudente è astenersi dalla scansione dei codici QR, specialmente quelli provenienti da fonti non verificate. Si consiglia di scannerizzare un codice QR solo dopo averne convalidato la fonte, e anche in questo caso, farlo con moderazione e solo quando assolutamente necessario.
Nel caso di ricezione di un’e-mail con un codice QR, il primo passo dovrebbe essere la verifica dell’autenticità del mittente. Se l’e-mail sembra provenire da un’azienda specifica (ad esempio, azienda X), ma l’indirizzo del mittente appare sospetto o non correlato, è probabile che si tratti di un tentativo di quishing.
In generale, è consigliabile trattare con scetticismo i codici QR presenti nelle e-mail. Le aziende legittime di solito forniscono istruzioni chiare per qualsiasi azione necessaria e raramente richiedono la verifica dell’account tramite un codice QR. Per quanto riguarda i codici QR sparsi nel mondo reale, è preferibile resistere alla tentazione di scannerizzarli.
È anche possibile configurare le opzioni di sicurezza all’interno dell’app per la scansione dei codici QR sul proprio smartphone. Ad esempio, si può impostare la visualizzazione dell’indirizzo web completo prima di confermare qualsiasi azione, migliorando così la sicurezza del processo di scansione.