Sono in crescita le frodi cyber perpetrate attraverso i codici Qr: “Quishing”, una combinazione delle parole QR code e phishing.
Il quishing è molto utilizzato in quanto è facile generare il codice QR in Rete, perché è difficile, per chiunque, comprendere un codice a barre bidimensionali, letto invece in automatico dalla fotocamera di uno smartphone, perché è l’utente che con il suo telefono mette in moto la frode, perché con lo sviluppo dell’intelligenza artificiale gli attacchi informatici sono sempre più frequenti.
I criminali sfruttano l’impossibilità di comprendere il contenuto di un codice QR, consentendo di “trasformarlo” incollando un codice QR falso su uno perfettamente legale, su un altro, stampando volantini accattivanti, inviandolo via email o SMS.
Unna volta scansionato il codice QR, purtroppo, si viene indirizzati verso siti web malevoli oppure viene scaricato , all’insaputa dell’utente, sullo smartphone un malware o uno spyware; nel primo caso si invita a inserire informazioni sensibili, ad esempio credenziali di accesso, dettagli della carta di credito, nel secondo, è direttamente l’hacher che svolgere l’operazione truffaldina.
Dove può avvenire la frode? In molte situazioni impensabili; ad esempio nei ristoranti che ormai usano il Qr per i menu; basta un adesivo incollato a “regola d’arte” sopra quello reale del ristorante, si scansione il QR, in perfetta buona fede e parte la truffa. Altre Ulteriore possibilità di frode possono essere il pagamento del parcheggio dell’auto o l’acquisto dei biglietti di tram e metro. Il rischio è uguale a quello precedente.
Il caso classico è sempre la “vecchia e cara” e mail che sembra spedita da un ente pubblico, da un intermediario finanziario, da un corriere per il ritiro di un pacco o per ritirare una vincita, in cui si invita a scannerizzare il QR Code.
Purtroppo, il blocco spam della posta elettronica non sempre riesce a identificare i messaggi contenenti dei QR code.
Scannerizzare il codice, come visto, significa essere indirizzati su un sito fraudolento, da cui saranno acquisiti i dati personali.
La difesa contro il quishing richiede consapevolezza, buone pratiche di sicurezza e strumenti tecnologici.
Alcune difese sono prese direttamente dagli operatori;.
Molte aziende offrono alternative digitali che non richiedono l’uso di codici QR, come l’accesso diretto tramite app o siti web ufficiali.
Molte applicazioni di scansione di codici QR includono funzioni di sicurezza che permettono di vedere l’URL di destinazione prima di aprirlo. Le app di sicurezza avanzate possono anche verificare la legittimità dell’URL prima di consentirti di procedere.
Le reti private virtuali (VPN) offrono un ulteriore livello di protezione quando navighi su internet, proteggendo le connessioni da attacchi man-in-the-middle e altre minacce.
Altre devono vedere attivi e attenti gli utenti.
Prima di scansionare un codice QR, è necessario controllare visivamente se il codice sembra essere stato manipolato o se vi sono segni di sovrapposizione o adesivi che potrebbero coprire un codice originale. Nel dubbio chiedere conferma al personale, dove possibile, per assicurarsi che il codice sia legittimo.
Non scansionare codici QR di bassa qualità, possono essere stati generati da Internet dai criminali.
Evitare le applicazioni integrate nei social media o nei browser che scansionano automaticamente il codice senza dare un’anteprima del link.
Evitare di scansionare codici QR pervenuti da fonti sconosciute o non verificate. Se si riceve un codice QR via email o SMS, si deve provare ad accedere manualmente, senza scansionare il code QR, al sito web dell’organizzazione: di solito è impossibile.
Un software di sicurezza aggiornato può aiutare a bloccare siti di phishing noti o rilevare minacce nel momento in cui accedi a un sito dannoso.
Se per errore o per fiducia è stato scansionato il codice QR, la prima cosa da fare è controllare immediatamente i propri rapporti bancari e altre notizie importanti per verificare eventuali attività insolite. In caso di sospetto di furto di dati, si deve avvisare subito la propria banca per bloccare il conto o gli altri operatori con cui abbiamo un rapporto contrattuale, cambiare immediatamente le password e, se capaci, attivare l’autenticazione a due o più fattori per una maggiore sicurezza.
