Occhio ai QR Code

Cos'è il "QRishing", la nuova truffa che ruba i dati con una scansione

Adiconsum Bergamo lancia l'allarme sulla nuova frode digitale che si sta diffondendo, ma ancora poco conosciuta

Cos'è il "QRishing", la nuova truffa che ruba i dati con una scansione
Pubblicato:
Aggiornato:

Una nuova tipologia di frode digitale carpisce i dati sensibili e le credenziali bancarie di malcapitati cittadini: è l'allarme lanciato da Adicosum Bergamo. La truffa prende il nome di "QRishing" e si affianca alle ben più note phishing (e-mail fasulle), smishing (sms ingannevoli) e vishing (telefonate da falsi operatori). Il suo funzionamento è piuttosto subdolo: si tratta di falsi QR Code, ossia quelle immagini quadrate con moduli neri su fondo bianco, sostituiti o modificati con lo scopo di sottrarre informazioni personali a chi li scansiona.

Proprio come nel caso del phishing, anche questa nuova truffa fa leva sulla curiosità degli ignari cittadini, spingendoli a scansionare inconsapevolmente i codici dannosi. La manipolazione dei codici avviene principalmente attraverso la sovrapposizione di una guaina trasparente sopra i codici originali, posti in luoghi considerati sicuri dalle vittime, come locali e negozi, oppure che riportano loghi di aziende note simulando pubblicità o codici sconto attraverso manifesti e volantini.

«L’utente che scansiona il codice viene dunque diretto verso un indirizzo internet differente da quello verso cui credeva di essere condotto - spiega Mina Busi, presidente di Adiconsum Bergamo -. Tramite link malevoli o contraffatti, senza rendersene conto la vittima viene “aggredita” nei propri dati personali, che possono poi essere utilizzati da parte dei criminali informatici. Molto spesso le applicazioni che utilizzano i codici QR non mostrano l’URL della pagina web di destinazione e ciò permette ai cyber-criminali di nascondere i link delle loro truffe».

Come difendersi, quindi, da queste truffe? Adiconsum ha condiviso alcuni comportamenti da adottare: «Chiedersi chi ha generato quel codice QR: codici generati da applicazioni sicure, che svolgono una specifica funzionalità e non portano a siti in cui vengono richieste informazioni personali sono certamente meno pericolosi di codici esposti pubblicamente, nel mondo fisico o virtuale, che portano a siti in cui viene richiesto l’inserimento di informazioni personali; fare attenzione a URL abbreviati (se si utilizza un browser mobile, attraverso cui non è possibile fare un controllo, è meglio evitare di aprirli); installare applicazioni di sicurezza anche sui propri dispositivi mobili: a differenza dei browser desktop, infatti, che chiedono all’utente se vuole entrare in siti non sicuri, i browser mobili di solito espongono l’utente a rischi maggiori».

Seguici sui nostri canali