pulsante lavora con noi studio essepi

Consulenza e formazione. Dal 1995 un punto di riferimento per aziende e professionisti.

Magazine

Quishing: la truffa dei QR code contraffatti

Quishing: la truffa dei QR code contraffatti

Negli ultimi anni li stiamo trovando un po' ovunque: dai menù dei ristoranti alle audioguide dei musei, passando per i pagamenti dei parcheggi cittadini e molto altro ancora.

I QR code sono delle specie di codici a barre da scansionare con il proprio smartphone, che permettono di accedere a contenuti multimediali di vario tipo, senza digitare l'indirizzo web manualmente.

È proprio tramite QR code che, di recente, è stato registrato un aumento dei casi di "quishing", ovvero una variante di quelle tipologie di attacchi informatici che rientrano sotto il termine "phishing".

Vediamo di fare chiarezza in mezzo a tutti questi termini e di capire meglio come può avvenire una truffa tramite QR code, come difendersi e quali sono le differenze con le altre tipologie (smishing e vishing).

Cos’è il quishing e come avviene la truffa dei QR code contraffatti

Pur non trattandosi di uno strumento così recente, il "Quick Response Code" (letteralmente, codice a risposta rapida) si è diffuso in particolare in questi anni - soprattutto durante il periodo dell'emergenza pandemica - ed è rimasto in molti contesti come una modalità pratica e veloce per svolgere determinate azioni con il proprio telefono.

Basti pensare, ad esempio, a quanto spesso lo troviamo oggi nei ristoranti, al posto dei menù cartacei, per evitare di maneggiare un tipo di oggetto che entra in contatto con tante persone (ecco perché, in periodo Covid, molti ristoratori hanno preferito il codice QR rispetto ai menù cartacei “usa e getta” oppure al dover sanificare continuamente quelli normali).

In realtà, ormai gli ambiti di applicazione sono tanti, proprio perché il QR code permette un rapido accesso al link di destinazione, senza doverlo scrivere nella barra di ricerca, lettera per lettera.

Ma a quale sito web accediamo tramite QR code? Non sempre, infatti, le cose vanno per il verso giusto. Il quishing può avvenire in due modalità. Una volta che l'utente inquadra il codice, potrebbe ritrovarsi a:

  • accedere a un sito web ingannevole, che richiede di inserire dati personali o bancari per rubare tali informazioni;
  • scaricare un malware dannoso per il dispositivo.

In realtà, prima di cadere in eccessivi allarmismi e guardare con sospetto ogni QR code, è importante capire in quali contesti è più facile trovare questi codici contraffatti, in modo da essere più attenti e consapevoli (e sapere come difendersi). Vediamoli nel dettaglio.

Quishing: come riconoscerlo e difendersi dalle truffe dei QR code

Come detto, il quishing è una modalità di phishing, ovvero la truffa che consiste nell'ingannare la vittima per convincerla a condividere dati personali, credenziali di accesso o effettuare pagamenti (credendo di farli per un ente/azienda affidabile).

In riferimento al quishing, ad esempio, alcune truffe sono state messe in atto nelle colonnine per il pagamento dei parcheggi, applicando l'adesivo di un QR code contraffatto sopra a quello originale. In questo modo, le vittime effettuavano inconsapevolmente il pagamento ai truffatori. Il primo consiglio per difendersi dal quishing, dunque, è quello di fare attenzione ai contesti più "vulnerabili", ovvero non tanto quelli di ristoranti, ospedali eccetera, ma soprattutto quelli presenti per strada, nei parcheggi o in luoghi pubblici in cui gli adesivi possono essere facilmente sostituiti (oppure dove un codice contraffatto possa essere stato incollato sopra a quello corretto).

Un'altra situazione cui fare attenzione, inoltre, riguarda ancora una volta quella delle e-mail. Anche in questo caso, come per il phishing in generale, le comunicazioni cercano di imitare messaggi di banche, enti e aziende realmente esistenti, con l'obiettivo di estorcere dati personali per risolvere particolari problemi tecnici, richiedere pagamenti, eccetera. Con la differenza che, invece di utilizzare un link "classico", viene inserito un QR code da scansionare.

Tra i consigli forniti dalla Polizia Postale vi sono quelli di verificare l'indirizzo del sito che si apre dopo aver scansionato il codice, diffidando di URL abbreviati o diversi dal dominio ufficiale.

Altri suggerimenti per difendersi dalle truffe dei QR code ricevuti via e-mail sono:

  • prestare attenzione all'affidabilità del mittente e a quella dell'indirizzo di posta elettronica;
  • diffidare dei messaggi scritti con toni intimidatori e che richiedono di agire con particolare urgenza;
  • fare attenzione a come sono scritti questi messaggi, poiché spesso riportano errori grammaticali, di formattazione o di traduzione da altre lingue.

Infine, è bene ricordare che solitamente i QR code generati da enti e imprese non portano a pagine web che richiedono di inserire credenziali di accesso o di pagamento. Già questo dovrebbe essere un forte campanello d'allarme di un possibile tentativo di truffa. In caso di dubbi, è preferibile non inserire tali dati personali e contattare l'azienda mittente utilizzando i canali ufficiali, per verificare che la comunicazione ricevuta sia stata effettivamente inviata da quella realtà.

Quishing, smishing e vishing: cosa cambia?

Abbiamo visto che con il termine “phishing” si fa riferimento alla tecnica illecita di rubare informazioni riservate e dati personali agli utenti.

Ciò avviene soprattutto tramite e-mail, ma quando vengono utilizzati altri strumenti abbiamo delle denominazioni diverse. Il quishing identifica la truffa che sfrutta i QR code contraffatti, ma vi sono almeno altri due termini legati ad altre due diverse modalità.

Per "smishing" si intende la truffa che sfrutta SMS e sistemi di messaggistica (a questo link trovi un approfondimento dedicato). Mentre il termine "vishing" rappresenta quella messa in atto per telefono, tramite finti operatori.

Quishing, smishing e vishing, in sostanza, sono termini specifici che servono a identificare tre diverse modalità di phishing. Conoscere queste differenze è importante per avere degli strumenti in più di consapevolezza, nel caso ci si dovesse imbattere in queste tipologie di truffe sui dati personali.


Vuoi tutelare la privacy dei dati della tua azienda, per limitare al minimo il rischio di data breach e rispettare gli obblighi previsti dal GDPR? Contattaci senza impegno per richiedere il supporto di un nostro professionista.


banner ebook studio essepi 


mattia-pinali-studio-essepi  

Scritto da: Mattia Pinali


Consulente specializzato in salute e sicurezza sul lavoro, musicista e appassionato di sport.


Chiamaci

045 8621499