Il QRishing è un attacco di phishing realizzato attraverso un codice QR. Lo smartphone è ormai costantemente a portata di mano per eseguire le più disparate operazioni, secondo il Digital Consumer Trends Survey 2022 il 94% degli italiani adulti è in possesso di uno smartphone. Ecco perché questo dispositivo è sempre più veicolo di truffe bancarie online e di alcune tecniche di phishing che passano da canali apparentemente obsoleti, come lo smishing, cioè il phishing tramite gli SMS, e il vishing, il phishing vocale.
A queste tecniche malevole se ne aggiunge una nuova, il QRishing, la truffa del QR Code. Si tratta della nuova frontiera delle truffe digitali: tramite il QR Code i malintenzionati sottraggono alle vittime dati sensibili e credenziali di carte e conti.
Cos’è il QR Code
Prima di spiegarti in cosa consiste in QRishing, è opportuno porre l’accento sul funzionamento del QR Code come particolare strumento di accesso alle informazioni.
Diventato molto popolare durante la pandemia e rimasto in uso tuttora in ristoranti, musei, stampato su giornali e riviste, il QR Code (ossia “Quick Response Code”, codice a risposta veloce) è una matrice che contiene determinate informazioni. Spesso viene considerato il successore più evoluto del codice a barre ma in realtà, una volta che il QR Code viene inquadrato con la fotocamera dello smartphone, questo codice reindirizza a siti web o app, contenuti multimediali, possono essere usati anche per effettuare pagamenti o prelievi tramite app.
I QR code, dunque, sono strumenti che permettono di condividere informazioni sempre aggiornate ed è per questo che sono diventati esche appetibili per i cybercriminali che hanno dato vita al QRishing come nuova frontiera delle frodi digitali.
Quali sono le truffe del QR Code
In sostanza, come vishing e smishing e altre comuni tecniche di phishing, il QRishing inizia col tentativo di suscitare la curiosità della vittima, che viene indotta ad inquadrare il QR Code.
Questo tipo di raggiro avviene attraverso diversi metodi. I cybercriminali approfittano del fatto che alcune applicazioni non mostrano la URL dei codici QR e, in questo modo, riescono a nascondere i link malevoli. Inoltre, i browser mobile non utilizzano i medesimi sistemi di sicurezza dei browser desktop, come ad esempio, la possibilità di confrontare una URL con una blacklist di URL già etichettate come pericolose.
Dunque, la pericolosità del QRishing risiede nel suo essere una tecnica di truffa ancora poco conosciuta e, per questo motivo, non ostacolata da sistemi di sicurezza con cui si combattono, ad esempio, gli attacchi via email. Oltretutto, come sottolineato sopra, si tratta di una tecnologia ampiamente diffusa nelle pratiche della vita quotidiana e che coinvolge sia lo spazio digitale sia lo spazio fisico.
Come funziona il QRishing
L’operazione che i cybercriminali compiono è chiaramente quella di modifica o sostituzione di un QR-Code: il malcapitato che inquadra il codice atterra su un indirizzo internet differente da quello su cui credeva di essere condotto.
I metodi più utilizzati per sottoporre agli utenti QRcode fasulli possono essere:
- sovrapporre sui codici originali una guaina trasparente, tecnica adottata per lo più in quei luoghi che sono familiari per l’utente, un locale, un negozio di fiducia, tutti contesti in cui la vittima non si sente a rischio e, di conseguenza, il suo senso di sicurezza è meno allertato;
- ricorrere a marchi molto noti posti accanto al codice QR malevolo che simula una promozione del marchio famoso su volantini o manifesti creati ad hoc;
- utilizzare buoni sconto che fanno leva sulla consolidata abitudine degli utenti a inquadrare codici QR che offrono sconti di marchi famosi.
Senza che se ne renda conto, la vittima inserisce i propri dati personali, che finiscono immediatamente tra le mani dei criminali informatici, che in altri casi agiscono installando malware sui dispositivi o dirottando i loro pagamenti delle vittime verso account controllati dai malfattori.
Come proteggersi dal QRishing
I canali che il phishing usa come esca per via della loro presenza nella quotidianità degli utenti (codice QR, SMS, telefonate, email) rappresentano appunto solo un’esca, la truffa potrebbe anche fallire se solo la vittima fosse in grado di riconoscere che la pagina su cui è atterrato è fasulla, cosa che succede difficilmente.
Per questo vi proponiamo alcuni consigli per aggirare il problema a monte e fare attenzione ad alcuni aspetti per evitare di cadere nella trappola del QRishing.
- Ispezionare il formato del QR Code, per capire se un QR code fasullo è incollato sull’originale.
- Fare attenzione a chi ha generato il QR Code, per assicurarsi che si tratti di codici generati da applicazioni sicure creati per specifiche finalità e che non portino a siti in cui vengono richieste informazioni personali. Questi codici sono di sicuro meno pericolosi rispetto a quelli codici esposti pubblicamente, nel mondo fisico o virtuale, che portano a siti in cui viene richiesto l’inserimento di dati personali.
- Fare attenzione agli URL abbreviati che spesso nascondono una URL intera che può destare sospetti, evitare di aprirli se si naviga con un browser mobile con cui non è possibile controllare.
- Installare applicazioni di sicurezza sui dispositivi mobili: poiché i browser mobile non chiedono agli utente se è sicuro di volere entrare in un sito non sicuro, cosa che invece fanno i browser mobile.
I consigli per difendersi da truffe di questo tipo e dalle ormai sempre più numerose e sottili tecniche dei criminali informatici non sono mai abbastanza. Il tema della cybersicurezza è più che mai caldo e uno dei nostri principali obiettivi è quello di diffondere maggiore consapevolezza negli utenti, perché il pericolo potrebbe trovarsi anche dietro il menu del ristorante preferito.
