Una nuova tipologia di frode digitale carpisce i dati di malcapitati. La truffa prende il nome di "QRishing" e si affianca alle ben più note phishing (e-mail fasulle), smishing (sms ingannevoli) e vishing (telefonate da falsi operatori). Il suo funzionamento è piuttosto subdolo: si tratta di falsi QR Code, ossia quelle immagini quadrate con moduli neri su fondo bianco, sostituiti o modificati con lo scopo di sottrarre informazioni personali a chi li scansiona.
Proprio come nel caso del phishing, anche questa nuova truffa fa leva sulla curiosità degli ignari cittadini, spingendoli a scansionare inconsapevolmente i codici dannosi. La manipolazione dei codici avviene principalmente attraverso la sovrapposizione di una guaina trasparente sopra i codici originali, posti in luoghi considerati sicuri dalle vittime, come locali e negozi, oppure che riportano loghi di aziende note simulando pubblicità o codici sconto attraverso manifesti e volantini.
L’utente che scansiona il codice viene dunque diretto verso un indirizzo internet differente da quello verso cui credeva di essere condotto. Tramite link malevoli o contraffatti, senza rendersene conto la vittima viene “aggredita” nei propri dati personali, che possono poi essere utilizzati da parte dei criminali informatici. Molto spesso le applicazioni che utilizzano i codici QR non mostrano l’URL della pagina web di destinazione e ciò permette ai cyber-criminali di nascondere i link delle loro truffe.
Tuttavia, se per gli attacchi e-mail esistono già diversi sistemi di sicurezza dedicati, lo stesso non sembra valere per il QRishing, pratica meno conosciuta e investigata. Inoltre, i browser utilizzati durante la navigazione via smartphone, spesso non impiegano le stesse tecniche di sicurezza dei browser desktop, come ad esempio la possibilità di confrontare una URL con una lista nera, e questo aumenta considerevolmente il livello del rischio.
Come funziona la truffa QRishing
Il QRishing solitamente si serve di un’esca per far sì che le potenziali vittime scannerizzino il codice malevolo. Ecco come vengono diffusi falsi codici QR per truffarci:
- Incollati con una guaina trasparente sopra ai codici originali.Questa tecnica si verifica soprattutto in luoghi considerati sicuri dalle vittime. La conseguenza di questo senso di sicurezza è la percezione che la scansione del codice QR proposto dal locale, dal negozio e in generale dal luogo di fiducia, sia esente da rischi.
- Accompagnati dabrand di aziende note. Per ingannare gli utenti l’hacker utilizza un codice malevolo che menziona un marchio reale, simulando una pubblicità, ad esempio attraverso un volantino o un manifesto, creato ad hoc.
- Usando i buoni sconto: sfruttando il fatto che gli utenti sono molto più propensi ad aprire i codici QR che offrono sconti, i criminali inseriscono codici malevoli in finti buoni a nome dei principali marchi online.
Come proteggersi dai rischi della truffa QRishing
Purtroppo, quando un utente viene indirizzato tramite QR Code malevolo a una pagina che richiede le sue credenziali, potrebbe non essere in grado di riconoscere facilmente la truffa: dunque vi presentiamo qualche suggerimento per aumentare l’attenzione ogni qualvolta utilizzate questi codici.
- Osservare il formato dei codici QR: il principale attacco QRishing viene fatto incollando sopra un codice QR originale uno fasullo. Uno sguardo attento può aiutare a scoprirlo.
- Chiedersi chi ha generato quel codice QR: codici generati da applicazioni sicure, che svolgono una specifica funzionalità e non portano a siti in cui vengono richieste informazioni personali sono certamente meno pericolosi di codici esposti pubblicamente, nel mondo fisico o virtuale, che portano a siti in cui viene richiesto l’inserimento di informazioni personali
- Prestare attenzione alle URL abbreviate: meglio controllare una URL abbreviata espandendola prima di aprirla. Se si utilizza un browser mobile, attraverso cui non è possibile fare un controllo, è meglio evitare di aprirla.
- Installare applicazioni di sicurezza:a differenza dei browser desktop, che chiedono all’utente se vuole entrare in siti non sicuri, i browser mobili di solito non lo verificano. Tuttavia, alcune applicazioni di sicurezza come gli antivirus, potrebbero aiutarci ad attivare i giusti controlli.
In generale, la vera ragione per cui occorre aumentare l’attenzione sul fenomeno del QRishing è che questo tipo di attacco sta iniziando a diffondersi ora e la sua conoscenza è ancora troppo poco diffusa.