Il palazzo Unicredit a Milano
Roma, 1 novembre 2024 – Tra le ultime frontiere delle frodi online c’è il cosiddetto ‘quishing’, una pratica sempre più comune che consiste nell’utilizzare Qr code fraudolenti per ingannare gli utenti e sottrarre dati sensibili o denaro. La truffa sfrutta la fiducia che le persone ripongono, generalmente, nei Qr code, ormai divenuti parte integrante della quotidianità poiché danno l’opportunità di accedere rapidamente a informazioni o effettuare pagamenti. Non è un caso che, in queste settimane, l’istituto bancario UniCredit stia mettendo in guardia i propri clienti dai rischi di questa inedita tecnica fraudolenta, inviando un messaggio in app e sull’home banking via web.
I contenuti dell’allerta UniCredit
La banca ha informato i propri correntisti che sarebbero stati rilevati dei tentativi di frode basati proprio sull’uso di Qr code fraudolenti. Come si legge nella notifica, i truffatori possono inviare comunicazioni via e-mail o posta tradizionale, che sembrano provenire dall’istituto di credito. Le comunicazioni riportano Qr Code che, una volta inquadrati e scansionati, possono invece scaricare malware sul dispositivo o reindirizzare a false pagine di accesso all’Internet banking, del tutto simili a quella autentica. I clienti sarebbero così indotti a comunicare dati e credenziali personali ai siti malevoli.
Come difendersi
Per proteggersi dai pericoli connessi al quishing, UniCredit consiglia di non fornire mai informazioni riservate come codici di adesione, Pin o numeri di carta a terzi; diffidare dei Qr Code ricevuti tramite e-mail o posta e utilizzare solo i canali ufficiali della banca per qualsiasi operazione; segnalare e-mail sospette alla propria filiale o al servizio clienti per verificare l’autenticità del messaggio. Più in generale, l’istituto suggerisce di verificare sempre con attenzione la validità del link a cui si viene indirizzati e l’autenticità delle fonti da cui provengono informazioni, messaggi e comunicazioni personali con i codici Qr allegati. In caso di dubbio, è opportuno usare prudenza e contattare sempre il servizio clienti.
La minaccia del quishing
Il Qr Code (Quick response code) è un tipo di codice bidimensionale, composto da una matrice di quadratini neri su sfondo bianco, che può contenere maggiori informazioni rispetto al tradizionale codice a barre. La sua diffusione, dilagata nel corso dell’emergenza pandemica (basti ricordare quello riportato sul famigerato ‘Green pass’), ha reso il Qr code interessante anche per i criminali informatici. Il quishing rappresenta, dunque, un’evoluzione del cosiddetto ‘phishing’, la diffusione di link malevoli tramite e-mail o sms. Secondo gli esperti, il fenomeno del quishing avrebbe registrato un incremento vertiginoso negli ultimi 3 anni, passando dallo 0,8% del 2021 a circa l’11% della prima metà del 2024.
I precedenti
Sono numerose, in effetti, le truffe basate sul quishing e recentemente scoperte, in particolare nell’ambito assicurativo e nel settore auto. Ad esempio, i truffatori applicano adesivi con Qr code falsi sulle colonnine di ricarica per veicoli elettrici: quando gli utenti scansionano questi codici, vengono reindirizzati a siti web fraudolenti, che raccolgono dati personali e finanziari. A Milano e provincia, inoltre, sono state segnalate false multe lasciate sui parabrezza delle auto, con Qr code per il pagamento. Scansionando questi codici, le vittime erano indirizzate a siti truffaldini. Per quanto riguarda, infine, il comparto delle assicurazioni, nel nostro Paese si sta diffondendo una truffa, riguardante il rinnovo dell‘Rc auto, che prevede proprio l’uso di Qr Code. Le vittime, contattate per il rinnovo dell’assicurazione, ricevono un codice da inquadrare con il proprio telefono: tale codice porta a effettuare un pagamento al truffatore, anziché alla propria compagnia assicurativa.