I codici QR sono ormai parte integrante della vita quotidiana e si usano per pagare, sui manifesti, nei ristoranti o nelle e-mail. I criminali informatici sfruttano proprio questa comodità. Una truffa compiuta in questo modo si chiama quishing, una combinazione delle parole «QR code» e «phishing».
Che cos’è il quishing?
Il quishing utilizza codici QR manipolati o falsificati per indirizzare gli utenti verso siti Internet fraudolenti o indurli a immettere dati sensibili. Diversamente dagli attacchi di phishing classici, con i codici QR in genere non si capisce quale sarà la destinazione prima di scansionarli, il che rappresenta uno svantaggio sul piano della sicurezza.
Come funziona un attacco di quishing?
Un tipico attacco di quishing si svolge in più fasi:
- I criminali fanno circolare codici QR falsi posizionandoli o incollandoli per esempio su parchimetri, manifesti, volantini o e-mail.
- Quando la vittima scansiona il codice QR, questo conduce a una pagina Web che sembra autentica (pagina di phishing). Può trattarsi di pagine di login come pure di servizi di spedizione pacchi o di pagamento.
- Se la vittima non riconosce la truffa e quindi inserisce i propri dati di accesso o conferma un pagamento, queste informazioni finiscono direttamente ai truffatori.
In rari casi, il codice QR può servire anche per far scaricare sullo smartphone software dannoso.
Come proteggersi dal quishing
Con alcune semplici precauzioni, il rischio si può ridurre concretamente:
- Scansionate solo i codici QR provenienti da fonti attendibili.
- Utilizzate esclusivamente scanner di codici QR che vi mostrano il contenuto del codice prima di elaborarlo.
- Dopo aver scansionato un codice QR, controllate sempre la pagina di arrivo del link (nome del dominio) o le informazioni di pagamento prima di aprire quella pagina o eseguire una transazione.
- Non inserite credenziali d’accesso, dati della carta di credito o codici in una pagina aperta tramite codice QR.
- Non fidatevi dei codici QR che vi mettono sotto pressione o vi trasmettono un senso d’urgenza.
- È preferibile digitare manualmente nel browser gli indirizzi Internet importanti.
In conclusione
I codici QR sono pratici, ma non sono automaticamente uno strumento sicuro. Il quishing dimostra che anche le tecnologie moderne si prestano a usi illeciti. Rimanendo vigili e osservando le regole di sicurezza di base ci si può proteggere efficacemente da questa forma di truffa.
