La tecnologia avanza e si innova e così anche la criminalità informatica evolve e cerca altre strade per sfruttare a proprio vantaggio i nuovi sistemi. Attualmente, per esempio, i codici QR sono diventati la chiave per accedere rapidamente a un servizio, un’app, collegarsi a una rete Wi-Fi o sfogliare il menù di un ristorante. Gli hacker non hanno perso tempo e hanno dato vita a nuovi attacchi di phishing, chiamati quishing, che sfruttano proprio i QR code. Una ricerca di Harmony Email, del team di Check Point Software, ha registrato un aumento delle truffe legate al QR Code pari al 587%.
Cosa significa la parola quishing: attenzione alla truffa
Il termine quishing lega il QR Code al phishing ed è una truffa telematica che cerca di estrapolare le informazioni personali simulando pagine web create ad hoc per ingannare gli utenti. Le persone, totalmente ignare del pericolo, vengono portate con l’inganno ad accedere a falsi siti web o a scaricare malware dopo aver scansionato un codice QR.
Il QR Code, Quick Response Code o codice a risposta rapida, altro non è che un’immagine rappresentata da un quadrato con al suo interno una serie di moduli neri su sfondo bianco che può contenere specifiche informazioni. Il suo funzionamento è simile a quello di un codice a barre, ma è uno standard che oggi può essere letto da qualsiasi dispositivo.
Il phishing è la classica truffa online in cui il truffatore prova a far abboccare la vittima imitando un marchio, un ente pubblico, le forze di polizia o dei semplici soggetti privati, copiandone nomi e loghi.
Come funziona un attacco di quishing sul telefono
Un attacco di quishing viene realizzato quando gli hacker creano falsi QR code. Quando l’utente inquadra con la fotocamera il codice, entra su un sito dove viene richiesto di inserire credenziali e informazioni sensibili, come quelle bancarie. In questo modo si attua la classica truffa del furto di dati importanti della vittima, che può avere importanti ripercussioni anche sul proprio conto.
Spesso i QR arrivano in allegato via mail e nel testo viene chiesto di seguire istruzioni per accedere ai loro account temporaneamente disattivati. Un altro tipo di frode che sfrutta i QR code è la truffa della lettera, ma in quel caso arriva un biglietto in cui si chiede una recensione a 5 stelle di un prodotto acquistato per ottenere in regalo un buono sconto e la ricompensa arriverebbe proprio inquadrando il codice QR.
Come difendersi dal quishing: tutte le soluzioni
Per difendersi dal quishing valgono più o meno le stesse regole del phishing. La prima è la prudenza, ovvero chiedersi sempre in che pagina si approda, da dove arriva il messaggio e controllare l’email in cui si riceve il codice da scansionare.
Una volta scansionato il codice, è consigliabile cliccare sul link solo e soltanto se si è sicuri che la fonte sia legittima. Attenzione ai segnali di falsificazione dei siti, dei loghi e di ogni altro riferimento ad aziende ed enti pubblici visibili nelle pagine di destinazione.
Mai inserire i dati personali se non si è sicuri del sito web nel quale si è arrivati tramite il link. È utile anche l’impiego del riconoscimento ottico dei caratteri OCR, che converte le immagini in testo per la comprensione. Implementando la sicurezza con modelli basati su intelligenza artificiale, machine learning e NLP (Natural Language Processing), capaci di comprendere quali siano le reali intenzioni di un messaggio, si riesce infine a riconoscere il linguaggio di phishing e quishing.
