I malviventi sfruttano i codici QR-code per sottrarre dati sensibili e credenziali di carte e conti . Le truffe bancarie online si stanno evolvendo, e ora utilizzano un nuovo sistema per carpire i dati sensibili dei malcapitati cittadini: il cosiddetto “QRishing”.
Questo raggiro si aggiunge alle ormai note tecniche di “phishing” (e-mail fasulle inviate, ad esempio, a nome della banca), “smishing” (sms ingannevoli inviati nella chat autentica della banca) e “vishing” (telefonata di un falso operatore bancario).
Il QRishing solitamente si serve di un’esca per far sì che le potenziali vittime scannerizzino il codice malevolo. Ecco come vengono diffusi falsi codici QR per truffarci:
- Incollati con una guaina trasparente sopra ai codici originali. Questa tecnica si verifica soprattutto in luoghi considerati sicuri dalle vittime. La conseguenza di questo senso di sicurezza è la percezione che la scansione del codice QR proposto dal locale, dal negozio e in generale dal luogo di fiducia, sia esente da rischi.
- Accompagnati da brand di aziende note. Per ingannare gli utenti l’hacker utilizza un codice malevolo che menziona un marchio reale, simulando una pubblicità, ad esempio attraverso un volantino o un manifesto, creato ad hoc.
- Usando i buoni sconto: sfruttando il fatto che gli utenti sono molto più propensi ad aprire i codici QR che offrono sconti, i criminali inseriscono codici malevoli in finti buoni a nome dei principali marchi online.
Come proteggersi dai rischi della truffa QRishing. Purtroppo, quando un utente viene indirizzato tramite QR Code malevolo a una pagina che richiede le sue credenziali, potrebbe non essere in grado di riconoscere facilmente la truffa: dunque vi presentiamo qualche suggerimento per aumentare l’attenzione ogni qualvolta utilizzate questi codici.
- Osservare il formato dei codici QR: il principale attacco QRishing viene fatto incollando sopra un codice QR originale uno fasullo. Uno sguardo attento può aiutare a scoprirlo.
- Chiedersi chi ha generato quel codice QR: codici generati da applicazioni sicure, che svolgono una specifica funzionalità e non portano a siti in cui vengono richieste informazioni personali sono certamente meno pericolosi di codici esposti pubblicamente, nel mondo fisico o virtuale, che portano a siti in cui viene richiesto l’inserimento di informazioni personali
- Prestare attenzione alle URL abbreviate: meglio controllare una URL abbreviata espandendola prima di aprirla. Se si utilizza un browser mobile, attraverso cui non è possibile fare un controllo, è meglio evitare di aprirla.
- Installare applicazioni di sicurezza: a differenza dei browser desktop, che chiedono all’utente se vuole entrare in siti non sicuri, i browser mobili di solito non lo verificano. Tuttavia, alcune applicazioni di sicurezza come gli antivirus, potrebbero aiutarci ad attivare i giusti controlli.
In generale, la vera ragione per cui occorre aumentare l’attenzione sul fenomeno del QRishing è che le questo tipo di attacco sta iniziando a diffondersi ora e la sua conoscenza è ancora troppo poco diffusa.