HomeGuide e consigliCosa è il quishing e come difendersene
Guide e consigli

Cosa è il quishing e come difendersene

Allerta quishing: scopri cone evitarne le trappole

By Francesca Be
0
Ragazzo controlla l'URL di un QR code per difendersi dal quishing

Dato che è proprio vero il detto se lo conosci, lo eviti, è importante sapere cosa è il quishing e come difendersi da questa truffa che utilizza QR code ingannevoli e che, essendo di recente diffusione, è ancora poco nota al grande pubblico.

Hai presente quei piccoli quadrati in bianco e nero che ormai troviamo ovunque, dai menù dei ristoranti alle pubblicità, dai biglietti dei mezzi pubblici ai sistemi di pagamento?

Ecco, proprio la loro praticità e la rapidità con cui ci permettono di accedere ad informazioni e servizi li hanno resi un bersaglio privilegiato per i criminali informatici.

Cosa è esattamente il Quishing?

Il termine “ quishing ”, come un neologismo dei nostri tempi, nasce dalla fusione di “ QR code ” e “ phishing ” ed indica una tecnica fraudolenta ingegnosa con cui i cybercriminali utilizzano codici QR dannosi per sottrarre informazioni importanti o installare malware sui dispositivi delle ignare vittime.

SE VUOI RICEVERE GRATUITAMENTE I NUOVI POST IN ANTEPRIMA CLICCA SU

Se il phishing tradizionale si basa sull’invio di messaggi ingannevoli (spesso email) per indurci a rivelare dati sensibili o a cliccare su link e il voice cloning truffaldino si serve dell’AI per imitare alla perfezione le voci, il quishing usa un vettore diverso: il codice QR fraudolento.

Il codice QR: da utile strumento a porta per le truffe

Codice QR su tavolo di legno

Il codice QR, acronimo di “ Quick Response Code ” (codice a risposta rapida) è un’evoluzione bidimensionale del tradizionale codice a barre (quello che troviamo sulle merci in vendita, dai prodotti del supermercato ai libri).

Nato in Giappone nel settore automobilistico per la tracciabilità dei componenti, ha velocemente trovato impiego in svariati ambiti grazie alla sua capacità di memorizzare una notevole quantità di informazioni, come indirizzi web (URL), testi, coordinate geografiche e perfino dettagli per l’accesso a reti Wi-Fi.

La sua praticità è innegabile: basta inquadrarlo con la fotocamera del nostro smartphone, sovente senza nemmeno bisogno di un’app dedicata, per essere reindirizzati a una pagina web, visualizzare un menù digitale, prenotare o disdire un ristorante o effettuare un pagamento contactless.

Proprio questa familiarità e la fiducia istintiva che riponiamo in tali codici rappresentano il “ cavallo di Troia ” sfruttato dai truffatori.

Come funziona la trappola del quishing

Il meccanismo del quishing è tanto semplice quanto efficace.

I criminali informatici creano codici QR, che, all’apparenza, sembrano del tutto normali.

Tuttavia, una volta scansionati, questi codici reindirizzano la vittima verso siti web fraudolenti progettati per rubare dati personali e finanziari, come credenziali di accesso (username e password), numeri di carta di credito o coordinate bancarie.

In alcuni casi, la scansione del codice QR malevolo può addirittura avviare il download e l’installazione di software dannoso sul nostro dispositivo, aprendo la strada a ulteriori attacchi ed al furto di informazioni.

La distribuzione dei codici QR truffaldini può avvenire attraverso vari canali:

  • Email di phishing: messaggi che imitano comunicazioni ufficiali (di banche, aziende di servizi, enti governativi) e contengono un codice QR con un pretesto urgente, come l’aggiornamento di dati o il pagamento di una fattura in sospeso.
  • Pubblicità fisica: volantini, manifesti, adesivi apposti su codici QR legittimi in luoghi pubblici (centri commerciali, stazioni, ristoranti, parchimetri) con offerte allettanti o finte necessità di pagamento.
  • Social media: post o messaggi privati contenenti codici QR ingannevoli.
  • Siti web compromessi: anche siti web legittimi possono essere infettati con codici QR dannosi.

Una peculiarità insidiosa del quishing risiede nel fatto che, a differenza di un link testuale in una email, non possiamo facilmente verificarne la destinazione prima di scansionarlo.

Questa “ opacità visiva rende molto difficile distinguere un codice QR regolare da uno malevolo ad occhio nudo.

Esempi concreti di attacchi quishing

Codice QR adesivo attaccato su retro esterno di un'automobile

La cronaca ci riporta diversi esempi di attacchi quishing che hanno avuto in impatto reale sulle vittime:

  • Codici QR adesivi attaccati su veicoli (di ignari proprietari) che installavano malware sugli smartphone di chi gli scansionava per curiosità o perché attratto da scritte ingannevoli presenti accanto ai code.
  • La truffa del parchimetro: codici QR falsi applicati sui parchimetri indirizzavano gli utenti a siti web che richiedevano i dati della carta di credito per un pagamento inesistente.
  • Falsi menù nei ristoranti: codici QR sostituiti a menù digitali conducevano a pagine che chiedevano l’inserimento di dati personali o addirittura invitavano a scaricare app dannose.
  • Email di finte banche: messaggi che simulavano comunicazioni bancarie con codici QR per “ verificare l’ identità ” o “ sbloccare conti ”, reindirizzando a siti clonati per carpire le credenziali.
  • False multe stradali: avvisi depositati sulle auto con un codice QR da scansionare per effettuare il pagamento, ma che in realtà portavano a siti fraudolenti per estorcere denaro.

Chi sono i soggetti più a rischio

Sebbene potenzialmente chiunque utilizzi codici QR possa cadere vittima del quishing, alcune categorie di persone risultano essere più vulnerabili:

  • Viaggiatori: spesso dipendenti da QR code per informazioni e pagamenti in contesti sconosciuti.
  • Anziani: meno avvezzi ai meccanismi delle truffe online e all’analisi critica dei codici QR.
  • Utenti che effettuano frequentemente pagamenti tramite QR code: abituali alla rapidità ed alla comodità di questa tecnologia, potrebbero abbassare la guardia.
  • Aziende e dipendenti: l’uso di codici QR per servizi interni o contactless può esporre a rischi sia l’azienda sia i dipendenti.

Come difendersi dal quishing

Fortunatamente, adottando alcune precauzioni, è possibile ridurre significativamente il rischio di essere vittima in questa insidiosa frode.

Come riconoscere i segnali di un attacco quishing

Essere consapevoli, innanzitutto, dei segnali può fare la differenza tra cadere nella trappola e proteggere i propri dati.

Giovane donna con telefonino in mano nutre dei dubbi

Pertanto vediamo, innanzitutto, quali sono gli indizi  di fronte ai quali è fondamentale “ drizzare le orecchie ” e allarmarsi:

  • Codici QR dall’aspetto sospetto: danneggiati, con adesivi sovrapposti o in posizioni inusuali.
  • Richieste inaspettate di dati personali: dopo la scansione, se  veniamo indirizzati a pagine che ci chiedono dati sensibili senza un contesto chiaro.
  • Offerte troppo vantaggiose: premi, sconti o promozioni esagerati che dovrebbero farci insospettire.
  • URL di destinazione anomali: se l’anteprima del link (quando disponibile) mostra un indirizzo web strano, troppo lungo o con caratteri inusuali o incomprensibili.
  • Email o messaggi con errori grammaticali o dal tono incalzante: sono tipici delle comunicazioni fraudolente.
  • Mancanza di un contesto chiaro: se non capiamo perché dovremmo scansionare il codice QR.
  • Richiesta di autorizzazioni eccessive da parte di app scaricate tramite QR code: se un’app richiede accessi non pertinenti alla sua funzione.

Strategie pratiche per proteggersi

Nei casi indicati sopra è bene astenersi da scansionare il codice QR o eliminare prontamente l’app scaricata e fare una scansione con l’antivirus, ma esistono anche dei comportamenti, che, qualora vengano adottati costantemente e non una volta ogni morte di Papa, consentono di tutelarci da questa subdola minaccia.

Verificare la fonte

Controllare la provenienza di tutti i codici QR prima di effettuarne la scansione è fondamentale, specie se li riceviamo via email o nei messaggi di sconosciuti.

In caso di dubbi, sarà opportuno contattare direttamente l’azienda o l’ente tramite i canali ufficiali.

Anteprima URL

Utilizziamo app per la scansione di codici QR che mostrino l’anteprima dell’URL prima di aprirlo.

In questo modo, possiamo farci un’idea della destinazione ed evitare link sospetti.

In caso di email con codici QR, avviciniamo il cursore del mouse (senza cliccare) al codice per visualizzare l’anteprima del link e, se questa appare sospetta o il mittente non è riconoscibile, evitiamo di scansionare il codice.

Aggiornamento della sicurezza

Mantenere  sempre aggiornato l’antivirus del proprio dispositivo è necessario contro questa ed altre minacce informatiche.

È pure importante non dimenticarsi di aggiornare il software di sicurezza del sistema operativo che si usa ed abilitare l’autenticazione a 2 fattori (2FA) o multi-fattore (MFA) sugli account che usiamo.

Infatti l’abilitazione di tale procedura aggiunge un ulteriore livello di sicurezza anche nel caso in cui le credenziali personali venissero compromesse.

Non dare informazioni sensibili

A meno di essere certi della provenienza di un codice QR, non inseriamo password, dati bancari ed altre informazioni sensibili che ci vengano richieste dopo averlo scansionato.

In questa evenienza, la cautela è d’obbligo, anche perché è assai raro che le istituzioni legittime richiedano questo tipo di informazioni per mezzo di QR code.

Attenzione ai pagamenti

Donna in procinto di fare un pagamento online con carta di credito

Quando si utilizzano codici QR per effettuare pagamenti, bisogna avere la massima attenzione e verificare senza fare eccezioni la legittimità del terminale o del sito web prima di inserire i propri dati finanziari.

Oltre a controllare regolarmente l’estratto conto bancario per individuare eventuali movimenti sospetti, sarà bene pure cambiare le password dei propri account di tanto in tanto e mantenersi aggiornati sulle possibili evoluzioni di questa minaccia informatica.

Infatti, come tutte le forme del cybercrimine, anche il quishing è destinato ad evolversi ed ragionevole supporre che i truffatori affineranno le loro tecniche per rendere i codici QR fraudolenti sempre più difficili da individuare.

È probabile che vedremo una maggiore integrazione del quishing con altre tattiche di ingegneria sociale, come messaggi di testo (smishing) o chiamate telefoniche per rendere le truffe ancora più persuasive.

Tuttavia, allo stato attuale delle cose, basta adottare le strategie indicate sopra, avere un pizzico di scetticismo e fare qualche verifica per evitare spiacevoli sorprese nella stragrande maggioranza dei casi.

 

Altri articoli d’aiuto nella vita di tutti i giorni:

Credito foto in evidenza: Hack My Church per Flickr.com

Credito foto codice QR su tavolo: Freepik.com

Credito foto codice QR su automobile: Freepik.com

Credito foto pagamento online: Freepik.com

Credito foto donna perplessa: Freepik.com

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Trucchi di Casa