Roma, 20 novembre 2023 – Attenzione al quishing, il furto di dati tramite QR Code. La Polizia postale mette in allerta sul quel codice a barre bidimensionale che consente di accedere rapidamente a un contenuto multimediale – in genere un sito web o una app – senza dover digitare l'indirizzo corrispondente. Variante più sofisticata del phishing, la classica truffa in cui i malintenzionati si fingono un'azienda o un'ente affidabile in una comunicazione digitale per carpire – appunto – informazioni personali o bancarie, il quishing è probabilmente più difficile da scoprire. Il termine non a caso nasce dalla fusione di phishing e QR Code.
Come funziona il quishing
"Chiunque può creare un QR Code utilizzando i numerosi siti disponibili online – spiegano gli investigatori –. Inoltre il formato immagine utilizzato dal codice impedisce agli antivirus di rilevare le potenziali minacce contenute al suo interno". Rimanere vittime di questa nuova truffa dunque è molto semplice: basta inquadrare quella scacchiera di puntini bianchi e neri con la fotocamera dello smartphone magari perché si pensa di accedere al menù di un ristorante o scaricare l'audioguida di un museo, in realtà si viene reindirizzati a un sito web fraudolento creato ad hoc per carpire informazioni da parte dell'utente. Quest'ultimo, se non si accorge dell'inganno, rischia dunque di acconsentire alle richieste del sito stesso fornendo così coordinate bancarie o altro tipo di dati personali. Oppure si permette al sito di scaricare un malaware che poi infetta il nostro dispositivo.
Come difendersi ed evitare le truffe
Il fenomeno è in forte ascesa, con migliaia di attacchi concentrati negli ultimi mesi secondo alcune aziende di cybersecurity. Pertanto, spiega la Polizia postale, per evitare di cadere in questo tipo di truffa "è importante utilizzare le stesse buone prassi che adottiamo per difenderci dal phishing e dallo smishing", a partire dalla verifica dell'indirizzo di posta elettronica visto che spesso il QR Code viene inviato proprio per mail. Non è un caso, in effetti, se le grandi organizzazioni spesso si dotano di firewall per la posta elettronica come Secure Email Gateway.
Dunque diffidare di url abbreviati o differenti dal dominio ufficiale. Certo chi fosse pratico può anche configurare la propria posta elettronica con strumenti che permettono di rilevare i QR Code, tradurli negli url che si nascondono dietro il codice ed eseguirli tramite strumenti di analisi.
Per tutti comunque vale sempre la raccomandazione di usare il buon senso: mai inserire i propri dati personali all’interno di siti web dei quali non si è sicuri al 100%, ricordando che i QR Code generati da applicazioni sicure (e che svolgono una specifica funzionalità) non portano solitamente a siti in cui vengono richieste credenziali di accesso o di pagamento.
Per iscriverti al canale WhatsApp di Qn clicca qui