I truffatori informatici evolvono di pari passo con la tecnologia, trovando sempre nuove strade per avere vantaggi dai sistemi informatici.
Tra le tante innovazioni tecnologiche che vengono ormai utilizzate quotidianamente dagli utenti, ci sono i codici QR, diventati oramai uno strumento rapido ed intuitivo che permette di accedere rapidamente a documenti, come ad esempio il menù di un ristorante, oltre che a servizi e app.
Ovviamente anche gli hacker si sono allineati con queste tecnologie e hanno ideato modi sempre più raffinati per avvare nuovi attacchi di phishing, chiamati quishing, che sfruttano proprio i QR code.
Secondo una ricerca effettuata da Harmony Email, cloud che aiuta le aziende a proteggersi dagli attacchi malware, è stato registrato un aumento del 587% di truffe legate ai QRCode.
Il quishing e le truffe tramite QRcode
Il QR Code, Quick Response Code consiste in un’immagine, rappresentata da un quadrato, con al suo interno una serie di piccoli quartini neri su sfondo bianco, che restituiscono un codice binario 1, 0. In ogni QRcode generano combinazioni differenti che permettono di collegare, tramite la scansione, a informazioni e servizi.
Il phishing è il termine informatico che identifica la classica truffa online e in cui il truffatore prova a far abboccare la vittima imitando un marchio, un ente pubblico, un’istituzione bancaria, forze di polizia o semplici soggetti privati, copiandone nome, logo e contatto telefonico. Il quishing, invece, è una pratica informatica volta alla truffa, che connette il QR Code al phishing.
Sostanzialmente una volta che il soggetto si lega al canale web con QR Code, vengono estrapolate le informazioni personali attraverso pagine web create ad hoc. A colpo d’occhio questi siti sembrano essere ufficiali, ma hanno l’obiettivo di ingannare gli utenti. Tanti utenti vengono ingannati con questo metodo, accedendo ai malware presenti nei falsi siti web tramite la scansione del QR Code.
Un attacco di quishing viene realizzato quando gli hacker creano falsi QR code. Quando l’utente inquadra con la fotocamera il codice, entra in un sito dove viene richiesto di inserire credenziali e informazioni sensibili, come quelle bancarie. In questo modo si attua la classica truffa del furto di dati della vittima, che può avere importanti ripercussioni anche sul proprio conto.
Queste truffe attualmente funzionano maggiormente in due modi: può capitare molto spesso di trovare i QR allegati ad una mail in cui nel testo viene chiesto di seguire delle istruzioni per accedere a un account temporaneamente disattivato. Un’altra modalità, anche se meno diffusa, utilizza un biglietto in cui si chiede di recensire un prodotto acquistato per ottenere un buono sconto. La ricompensa arriva inquadrando il codice QR.
Gli accorgimenti da utilizzare sono gli stessi del phishing, ovvero agire con attenzione. Ricordate di verificare sempre la legittimità della fonte e di cliccare solo su link sicuri (che solitamente includono anche codici alfanumerici o termini estranee). Ricordate di non inserire mai i dati personali se non si è sicuri del sito web alla quale si approda tramite questo tipo di link.