Una nuova truffa ha fatto il suo ingresso nel mondo della rete, il cosiddetto Quishing, ossia il più noto Phishing applicato al QRCode, il quadrato in bianco e nero che può essere “letto” con l’apposita app e svelare, menù di ristoranti, manuali di istruzioni e possibilità di pagamento online.
Il termine deriva proprio dalla fusione di QRCode e Phishing, e questa pratica illecita punta a ingannare gli utenti attraverso messaggi dall’apparenza innocua.
Come funziona
In alcuni casi il QRCode malevolo viene inserito in un documento Pdf proveniente da un falso gestore di utenze elettriche o gas, oppure da un finto indirizzo bancario o di note aziende. Può essere inoltrato via mail, social media, biglietti da visita, superfici pubbliche.
Quando l’utente lo scansiona col proprio smartphone, viene indirizzato automaticamente ad un sito web che ha le sembianze di quello di un istituto di credito, di un’azienda conosciuta o di un gestore di energia o telefonia. A questo punto, al malcapitato vengono richiesti alcuni dati personali per l’accesso, comprese informazioni bancarie, che serviranno poi per appropriarsi della sua identità, prelevare dai suoi conti, o installare un software malevolo.
Scansionare un codice può anche avviare una chiamata vocale o inviare un Sms agli hacker che possono accedere in tempo reale al numero di telefono dell’urente e avere nuove informazioni da usare per altre truffe.
Minimizzare i rischi
Prima di scansionare un QRCode, è sempre utile verificarne la fonte e il contesto, ed evitare di inquadrare con il proprio dispositivo quelli trovati in luoghi pubblici o ricevuti da fonti non affidabili. Abilitando sullo smartphone la previsualizzazione, si può anche accertare che l’app di lettura mostri l’indirizzo completo prima di aprire il sito: se ci sembra sospetto, possiamo dunque evitare di entrarci. Importante è anche aggiornare il software del dispositivo, per consentire una maggiore protezione dalle vulnerabilità della rete.
Attenzione soprattutto all’inserimento di dati sensibili: se un QRCode reindirizza a un sito che richiede login o informazioni personali, prima di procedere provare l’accesso diretto dal sito ufficiale della pagina che stiamo visualizzando, per verificare se sia davvero quello originale o si tratti di un fake.
Qualche trucco per smascherare gli attacchi di quishing
Solitamente i messaggi che sottendono ad un attacco di quishing possono presentare errori di ortografia e grammaticali. I testi puntano sulla manipolazione emotiva per cercare di instillare un senso di urgenza, e possono essere stati redatti da un soggetto fisico oppure da Intelligenza Artificiale. Spesso gli hacker fanno anche riferimento a offerte imperdibili, delle quali bisogna diffidare, specie se si parla di sconti straordinari e vantaggi eccessivi.
L’origine del QRCode
Il quadrato composto da puntini e spazi bianchi e neri, da scansionare con lo smartphone, risale al 1994. Fu inventato da un gruppo di ricercatori di Denso Wave, una consociata di Toyota. Fu poi esteso a tantissimi settori, dove sempre più spesso si è sostituito al codice a barre.
La sua diffusione è cresciuta enormemente durante la pandemia. In quel periodo molti documenti cartacei, come i menù di bar e ristoranti, sono stati sostituiti dalla possibilità di scansionare il quadrato per accedere alle stesse informazioni senza dover toccare oggetti fisici.
TUTTE LE ULTIME NOTIZIE SU SPAZIO50.ORG
© Riproduzione riservata