QR code: occhio al quishing: la truffa dal nome divertente che divertente non è

Menù al ristorante? QR code. Descrizione dell’opera in un museo? QR code. Esperienza in realtà aumentata? QR code. Truffa? QR Code. Ormai i quadratini da scansionare con il telefono sono ovunque, tanto che quando ne vediamo uno difficilmente ci fermiamo a pensare che possa rimandare a un sito malevolo. Ed è proprio questa la vulnerabilità sfruttata dal quishing. Un particolare tipo di phishing, ovvero una truffa che ha come obiettivo rubare i dati della vittima, che usa come porta verso i nostri dispositivi i QR code. In questo articolo ti spieghiamo come funziona, a cosa fare attenzione, e come difenderti.

Come funziona il quishing, la truffa dei QR code

Il nome suona quasi innocuo, ma dietro c’è un meccanismo semplice e insidioso. Il quishing è una variante del phishing. Solo che per cadere nella truffa, invece di cliccare su un link, devi scansionare un QR code. Il codice ti porta su un sito che sembra legittimo, magari con il logo della banca o di un servizio che usi di solito.

Lì ti chiedono di inserire credenziali, dati della carta, o di scaricare un’app “necessaria”. In realtà, è una trappola: i dati finiscono nelle mani dei criminali, o il malware si installa sul telefono. E il brutto è che spesso scansionando i QR code non vediamo l’URL prima di aprirlo.

Esempi di truffa tramite QR code

• Immagina di aver appena posteggiato l’auto: il parcometro ha un QR per pagare online. Lo scansioni, inserisci i dati della carta, e… il pagamento non va a buon fine. Perché quel QR non è del Comune, ma di chi ha appiccicato un adesivo sopra quello originale.
• Pensa a un’email che ti avvisa di “attività sospette sul conto”: niente link, solo un QR da scansionare per “verificare la tua identità”. Sembra più sicuro, vero? In realtà è il contrario.

Come difendersi dal quishing

Prima di scansionare il QR code

La regola d’oro è la stessa con cui contrastare altri tipi di frodi informatiche: fermati. Quando vedi un QR code, non scansionarlo subito. Controlla bene il supporto: se è stampato, guarda bene dove. Ti sembra davvero il menù del ristorante, o sembra che qualcuno abbia appiccato un QR code sul porta tovaglioli a caccia di soldi facili? L’email dove vedi il QR code, da quale indirizzo proviene? Non fidarti nemmeno di adesivi sopra pali e cartelli.

Dopo averlo scansionato

Se ti sembra tutto in regola, scansiona pure il codice, ma prima di aprire l’indirizzo, incollalo da qualche parte, magari nelle note del telefono. Leggilo con attenzione, ti sembra legittimo? Se il dominio di sembra familiare, puoi provare a cercarlo su Google per vedere se effettivamente è come te lo ricordi. Inoltre, sappi che noi di ING non ti invieremo mai QR code, così non corri il rischio di quishing.

In ogni caso

Dal tuo dispositivo, disattiva la possibilità di scaricare app di terze parti. Così, se un QR code dovesse rimandarti a un download pericoloso, il telefono non lo eseguirà. Infine, aggiornamenti di sicurezza sempre attivi, e autenticazione a due fattori in ogni caso.

In sintesi

Il quishing sfrutta la nostra fretta e fiducia nella tecnologia. Ma basta un attimo di attenzione per trasformare un QR code da rischio a semplice comodità.