La truffa del Qr code, è terribile: ecco come riconoscerla
Si chiama “Qrishing”, ed è la truffa del Qr code. Ecco come funziona l’ultima trovata della criminalità informatica.
Il Qrishing, come si può capire dal nome, è un’altra variante del phishing. Invece di servirsi dell’email, però, si affida a un messaggio allettante scritto su un manifesto con Qr code.
C’è un un foglio attaccato al muro con su scritto “Scansiona qui per il premio”. Subito sotto il messaggio c’è un Qr code. Cosa succede se si scansiona il Qr code? Lo spiegheremo in quest’articolo.
Il Qrishing, ovvero il phishing col Qr code
Al pari di tutte le truffe legate al phishing, il Qrishing si presta alla sottrazione dei dati sensibili, fino a rubare i soldi del malcapitato che scansiona il codice esposto al pubblico.
Il Qr code viene falsificato dagli hackers, che puntano a rendere irriconoscibile il tranello anche attraverso Qr code esposti in precedenza, ma abilmente camuffati. Ed il sito al quale si verrà reindirizzati avrà tutte le sembianze di un sito ufficiale o istituzionale, diventando un’esca perfetta per la sottrazione dei dati.
Come avviene la truffa del Qr code?
I metodi per effettuare il raggiro sono tre. Il primo è quello di posizionare un Qr code falso accanto al logo di un manifesto precedentemente affisso. L’oggetto del camuffamento avviene ad arte, facendo sembrare il Qr code un semplice metodo alternativo per raggiungere informazioni aggiuntive rispetto all’annuncio. Il secondo metodo non riguarda più i manifesti, bensì i buoni sconto già stampati. Con questo metodo, sui buoni sconto ufficiali verrà inserito anche un Qr code falso, e l’aggiunta diventerà quasi intercettabile.
Col terzo metodo si ritorna all’aggiunta sul manifesto ufficiale. In quest’ultimo caso, su un Qr code preesistente, si apporrà un Qr code modificato, che indirizzerà chiunque lo scansioni verso un sito farlocco.
Alcuni soggetti istituzionali hanno già scoperto e reso note delle truffe effettuate a proprio nome. In questo modo puntano a mettere in guardia la clientela, invitandola a non cadere nel tranello con consigli mirati sui casi accertati.
Banco Bpm è d’esempio in questa lotta al Qrishing. Sul sito del noto gruppo bancario possiamo leggere un’intera pagina dedicata al fenomeno, che dissuade la clientela dal cadere nel tranello e offre diverse indicazioni per riconoscere la truffa.
I consigli per evitare di caderci
In primo luogo, quando ci si trova davanti a un Qr code, occorre verificare che questo sia stampato sulla carta, e non incollato sul manifesto. Guardare bene se risultano aggiunte, spesso anche molto ben fatte, potrebbe tutelare la sicurezza dell’utente finale.
Inoltre, occorre prestare grande attenzione ai codici esposti pubblicamente, a maggior ragione se dovessero reindirizzare su form predisposti alla raccolta di dati personali.
Si guardino anche le URL di Qrishing alle quali il Qr code reindirizza. L’URL abbreviata potrebbe trarre in inganno, ma espandendola si potrebbe capire che si viene indirizzati a un sito farlocco.