Le truffe bancarie online si evolvono, e ora utilizzano un nuovo sistema per carpire i dati sensibili dei malcapitati cittadini: il “QRishing”. Questo raggiro si aggiunge alle ormai note come il “phishing” (e-mail fasulle), “smishing” (sms ingannevoli) e “vishing” (telefonata di un falso operatore bancario).
Il “QRishing” ha l’obiettivo di sottrarre credenziali e dati sensibili dei conti correnti attraverso i codici “QR-Code”. Tali codici rappresentano l’evoluzione dei più noti e datati “codici a barre” e, inquadrati attraverso lo schermo di uno smartphone, permettono di aprire le porte a siti web, a contenuti multimediali, ma anche di effettuare pagamenti tramite app della propria banca.
Quali sono le Truffe definite QRishing
L’aumento dei codici QR ha indotto i cyber criminali a inventarsi una nuova tipologia di frode digitale che si basa sulla modifica o sostituzione di un QR-Code: l’utente che scansiona il codice viene dunque diretto verso un indirizzo internet differente da quello verso cui credeva di essere condotto. Tramite link malevoli o contraffatti, senza rendersene conto la vittima viene “aggredita” nei propri dati personali suscettibili, che possono poi essere utilizzati da parte dei criminali informatici.
Come funziona la truffa QRishing
Le tecniche più frequenti attraverso le quali vengono diffusi falsi QR-code in grado di trarre in inganno le potenziali vittime sono: la sovrapposizione di una guaina trasparente sopra ai codici originali; questa tecnica si verifica soprattutto in luoghi considerati sicuri dalle vittime. La conseguenza di questo senso di sicurezza è la percezione che la scansione del codice QR proposto dal locale, dal negozio e in generale dal luogo di fiducia, sia esente da rischi.
L’utilizzo di marchi di aziende note: per ingannare gli utenti il criminale informatico utilizza un codice malevolo che fa riferimento a un marchio reale, simulando una pubblicità, ad esempio attraverso un volantino o un manifesto, creato ad hoc.
L’utilizzo di buoni sconto: sfruttando il fatto che gli utenti sono molto più propensi ad aprire i codici QR che offrono sconti, i criminali inseriscono codici malevoli in finti buoni a nome dei principali marchi online.
Come tutelarsi
Osservare il formato dei codici QR: il principale attacco QRishing viene compiuto incollando sopra un codice QR originale uno fasullo. Chiedersi chi ha generato quel codice QR: codici generati da applicazioni sicure, che svolgono una specifica funzionalità e non portano a siti in cui vengono richieste informazioni personali sono certamente meno pericolosi di codici esposti pubblicamente, nel mondo fisico o virtuale, che portano a siti in cui viene richiesto l’inserimento di informazioni personali.
Attenzione a URL abbreviati: se si utilizza un browser mobile, attraverso cui non è possibile fare un controllo, è meglio evitare di aprirli.
Installare applicazioni di sicurezza anche sui propri dispositivi mobili: a differenza dei browser desktop, infatti, che chiedono all’utente se vuole entrare in siti non sicuri, i browser mobili di solito espongono l’utente a rischi maggiori.
Forse dovresti anche sapere che…