L’invito a scansionare con il cellulare un QR-Code che pare provenire o rimandare a siti ufficiali e attendibili ma che sono in realtà sono stati creati da hacker appositamente per rubare i dati sensibili dell’utente: una pratica criminale che si sta diffondendo velocemente. Gli esperti hanno classificato il fenomeno coniando il termine “quishing“.

Di recente – fa notare CNA Modena – i criminali informatici hanno sviluppato nuove tipologie di truffa, basate sui codici QR. Si tratta di una frode informatica che prende il nome di quishing. Come agisce? Inquadrando il QR Code malevolo attraverso smartphone o tablet i malintenzionati spingono con l’inganno il povero malcapitato ad installare un malware, un software dannoso che, di solito, spia i dispositivi delle vittime. Il quishing, basa la sua intera azione sui codici QR e le vittime ignare scansionando un QR code senza accorgersene, scaricano sul proprio dispositivo un malware. Le vittime? Cittadini e imprese.

Succede ad esempio che in Svizzera i cittadini – ma anche le imprese non sono escluse – hanno ricevuto per posta una lettera apparentemente proveniente dall’Ufficio federale di meteorologia e climatologia (MeteoSvizzera) contenente un QR-Code per scaricare l’app meteo disponibile sul territorio elvetico e nota come “Alertswiss”. Una volta scaricata però ad essere installata è un’altra app che si chiama “Severe Weather Warning” contenente un malware che va a scaricare e installare una variante del trojan “Coper” (noto anche come “Octo2”). Questo agisce intercettando messaggi di autenticazione a due fattori, rubando credenziali bancarie e indirizzando gli utenti a pagine di phishing finalizzate al furto di dati personali. Il Centro nazionale svizzero per la sicurezza informatica (NCSC) ha lanciato l’allarme di eventi di quishing.

L’Italia purtroppo non è indenne, anzi si stanno registrando diversi casi di adesivi attaccati nei parcheggi che hanno un QR-Code che invita a scaricare l’app per pagare il ticket del pedaggio che in realtà è un’app criminosa per ingannare gli automobilisti e dirottare altrove i denari. Diversi istituti bancari hanno lanciato l’allarme su alcuni QR-Code creati dai criminali che sembrano rimandare al sito originale della banca, richiedendo all’utente di inserire le proprie informazioni sensibili, che però vengono utilizzate però dai malfattori tramite un clone del vero sito dell’istituto.

Alcuni importanti consigli 

1. Non scansionare mai un codice QR da una fonte sconosciuta;
2. Stare attenti ai tratti distintivi delle campagne di phishing, come il senso di urgenza e la paura;
3. Controllare l’anteprima dell’URL del codice QR prima di aprirlo per verificarne la legittimità (non cliccare su link sconosciuti o abbreviati);
4. Modificare periodicamente le password e non utilizzare mai la stessa password per più servizi;
5. Dotarsi di filtri antispam;
6. Impiegare il riconoscimento ottico dei caratteri OCR che converte le immagini in testo per la comprensione;
7. I codici QR generati da applicazioni sicure, che svolgono una specifica funzionalità, non portano solitamente a siti in cui vengono richieste informazioni personali, credenziali di accesso o di pagamento.