QRishing: cos'è la truffa del QR Code

L’espressione QR Code ovvero “Quick Response Code” significa “codice a risposta veloce” e rappresenta una matrice che porta con sé specifiche informazioni. Può essere considerato l’evoluzione del più noto codice a barre ma, in questo caso, una volta scansionato con uno smartphone, il QR Code apre le porte a siti web e contenuti multimediali.

Stiamo parlando di quelle immagini quadrate, con una serie di moduli neri su fondo bianco, che vediamo stampate su giornali, riviste, manifesti, nei musei o incollate alle vetrine di negozi e ristoranti. Queste immagini, se inquadrate tramite la fotocamera del nostro telefonino, reindirizzano a un sito web, a un contatto o aprono una applicazione.

Proprio per la quantità di informazioni sempre aggiornate cui danno accesso, l’utilizzo dei QR Code è sempre più frequente. Il QR Code può anche essere utilizzato per effettuare pagamenti tramite App. Tale diffusione li ha resi interessanti anche per i cyber-criminali che hanno dato vita a una nuova tipologia di frode detta QRishing.

Il QRishing si traduce in attacchi di Phishing attuati per il tramite di codici QR e, proprio come nel caso degli attacchi via e-mail, fanno leva sulla curiosità del malcapitato inducendolo a scansionare inconsapevolmente i codici dannosi. Ma come avviene questo tipo di truffa?

Molto spesso le applicazioni che utilizzano i codici QR non mostrano l’URL della pagina web di destinazione e ciò permette ai cyber-criminali di nascondere i link delle loro truffe.

Tuttavia, se per gli attacchi e-mail esistono già diversi sistemi di sicurezza dedicati, lo stesso non sembra valere per il QRishing, pratica meno conosciuta e investigata. Inoltre, i browser utilizzati durante la navigazione via smartphone, spesso non impiegano le stesse tecniche di sicurezza dei browser desktop, come ad esempio la possibilità di confrontare una URL con una lista nera, e questo aumenta considerevolmente il livello del rischio.

Il QRishing solitamente si serve di un’esca per far sì che le potenziali vittime scannerizzino il codice malevolo. Ecco come vengono diffusi falsi codici QR per truffarci:

• Incollati con una guaina trasparente sopra ai codici originali. Questa tecnica si verifica soprattutto in luoghi considerati sicuri dalle vittime. La conseguenza di questo senso di sicurezza è la percezione che la scansione del codice QR proposto dal locale, dal negozio e in generale dal luogo di fiducia, sia esente da rischi.
• Accompagnati da brand di aziende note. Per ingannare gli utenti l’hacker utilizza un codice malevolo che menziona un marchio reale, simulando una pubblicità, ad esempio attraverso un volantino o un manifesto, creato ad hoc.
• Usando i buoni sconto: sfruttando il fatto che gli utenti sono molto più propensi ad aprire i codici QR che offrono sconti, i criminali inseriscono codici malevoli in finti buoni a nome dei principali marchi online.

Purtroppo, quando un utente viene indirizzato tramite QR Code malevolo a una pagina che richiede le sue credenziali, potrebbe non essere in grado di riconoscere facilmente la truffa: dunque vi presentiamo qualche suggerimento per aumentare l’attenzione ogni qualvolta utilizzate questi codici.

• Osservare il formato dei codici QR: il principale attacco QRishing viene fatto incollando sopra un codice QR originale uno fasullo. Uno sguardo attento può aiutare a scoprirlo.
• Chiedersi chi ha generato quel codice QR: codici generati da applicazioni sicure, che svolgono una specifica funzionalità e non portano a siti in cui vengono richieste informazioni personali sono certamente meno pericolosi di codici esposti pubblicamente, nel mondo fisico o virtuale, che portano a siti in cui viene richiesto l’inserimento di informazioni personali
• Prestare attenzione alle URL abbreviate: meglio controllare una URL abbreviata espandendola prima di aprirla. Se si utilizza un browser mobile, attraverso cui non è possibile fare un controllo, è meglio evitare di aprirla.
• Installare applicazioni di sicurezza: a differenza dei browser desktop, che chiedono all’utente se vuole entrare in siti non sicuri, i browser mobili di solito non lo verificano. Tuttavia, alcune applicazioni di sicurezza come gli antivirus, potrebbero aiutarci ad attivare i giusti controlli.

In generale, la vera ragione per cui occorre aumentare l’attenzione sul fenomeno del QRishing è che le questo tipo di attacco sta iniziando a diffondersi ora e la sua conoscenza è ancora troppo poco diffusa.

L’articolo è di carattere divulgativo aggiornato alla data di pubblicazione. Per conoscere l’offerta della Banca consulta l’area Prodotti.

“Messaggio pubblicitario con finalità promozionale. Per le condizioni contrattuali ed economiche si rinvia ai Fogli Informativi disponibili in Filiale e sul sito www.bancobpm.it. L’erogazione dei finanziamenti è subordinata alla normale istruttoria della Banca.”iliali della Banca.

Per l’emissione della carta di debito e della carta di credito la Banca si riserva la valutazione dei requisiti necessari alla concessione e dei massimali di spesa da assegnare alla stessa.”