In giro ci sono diversi tipi di truffe e con le nuove tecnologie sono aumentati i rischi di incappare in qualche frode. I malfattori, infatti, aggiornano le loro tecniche adattandole agli strumenti e ai Device che diventano di uso comune proprio per riuscire a raggiungere il numero più ampio di potenziali vittime. Con l’ingresso degli smartphone come oggetti fondamentali per la vita quotidiana, sono iniziati a circolare raggiri via telefono o via sms. Internet ha poi dato vita al phishing, le truffe via email. Attualmente anche i QR code possono nascondere delle insidie a cui fare attenzione.
Allarme di Unicredit per la truffa del QR code
Una delle più importanti banche italiane ha recentemente allertando i suoi clienti in merito a una pratica molto pericolosa e dalle conseguenze spiacevoli: il quishing. Si tratta di UniCredit che, con una notifica in app e tramite e-mail o messaggio di testo, sta mettendo in guardia dalla truffa tramite QR code.
Il raggiro avviene tramite posta o e-mail, i truffatori inviano comunicazioni che sembrano legittime, praticamente identiche a quelle della banca, inserendo all’interno dei QR Code.
Una volta scansionata l’immagine, questi codici scaricano app fraudolente infettate da malware, oppure possono rimandare a pagine phishing che assomigliano esattamente a quelle di accesso all’Internet Banking.
Inserendo le proprie credenziali di accesso, gli utenti forniscono tutte le informazioni necessarie ai cybercriminali per rubare il loro denaro e le loro informazioni sensibili.
Cos’è il quishing e come difendersi dalle truffe
Il quishing è appunto un attacco phishing che avviene attraverso la scansione di un QR Code, che significa Quick Response Code (codice a risposta rapida). Questo riquadro bianco e nero, normalmente contiene informazioni su un sito o su un’app a cui si vuole accedere. Nel caso della truffa, il QR Code contiene un malware, un software maligno che ruba i dati del telefono o del computer, oppure un falso link a una pagina che sembra ufficiale ma che in realtà è gestita dai truffatori. In questo modo i malfattori si appropriano di dati, password e codici di accesso ai conti bancari delle vittime.
Per difendersi da questo tipo di frode, Unicredit suggerisce “di non fornire mai e per nessun motivo informazioni riservate (codice di adesione, PIN, numeri di carta..) a terzi”.
Per riuscire a individuare un QR Code maligno, è comunque possibile aggiungere agli strumenti di sicurezza della posta elettronica, il riconoscimento ottico dei caratteri OCR che permette di tradurre i Quick Response Code nelle URL che si nascondono dietro il codice ed eseguirli tramite gli strumenti di analisi.
In ogni caso è importantissimo adottare alcune best practice quando si ha a che fare con QR Code e link:
- Non scansionare mai un codice QR da una fonte sconosciuta.
- Stare attenti ai tratti distintivi delle campagne di phishing, come il senso di urgenza e la paura.
- Controllare l’anteprima dell’URL del codice QR prima di aprirlo per verificarne la legittimità. (Non cliccare su link sconosciuti o abbreviati).
- Modificare periodicamente le password e non utilizzare mai la stessa password per più servizi.
Nota da ricordare sempre: i codici QR generati da applicazioni sicure, che svolgono una specifica funzionalità, non portano solitamente a siti in cui vengono richieste informazioni personali, credenziali di accesso o di pagamento.