Non aprite quel Qr Code: la nuova truffa si chiama quishing

Ormai è una piacevole abitudine: inquadro il Qr Code e si apre un mondo. A volte però, questo è l’inizio di una truffa. La Polizia Cibernetica segnala infatti una variante del più noto fenomeno del phishing, il cosiddetto quishing, che si avvale del Qr Code, ovvero di un codice a barre che consente di accedere rapidamente a un contenuto multimediale senza la necessità di digitare l’indirizzo web della risorsa richiesta.

Il QR Code ha le stesse funzioni di un link, consente l’accesso diretto a contenuti multimediali senza necessità di digitare l’indirizzo web della risorsa richiesta. Allo stesso modo dei link allegati alle e-mail di phishing può condurre a siti fraudolenti al fine di impossessarsi dei dati personali degli utenti. Inquadrare il QR Code con la fotocamera del proprio smartphone, per accedere all’audioguida di un museo, per visualizzare il menu di un ristorante, per pagare un parcheggio, può condurre l’utente su un falso sito, creato ad hoc dai cybercriminali per carpire i suoi dati personali e bancari.

Esistono diverse declinazioni di questa truffa. C’è il quishing tramite falso postino: La vittima riceve una busta o un avviso di consegna. La comunicazione può sembrare autentica, poiché utilizza loghi, nomi e formati grafici di enti noti o corrieri famosi. L’avviso invita il destinatario a scansionare un QR code per: – Confermare una consegna; – Pagare eventuali costi di spedizione o tasse doganali; – Verificare o aggiornare i propri dati. Il QR code collega a un sito web che sembra legittimo ma è, in realtà, un sito truffaldino e può richiedere dati personali, come nome, indirizzo, codice fiscale, numero di telefono o informazioni bancarie. In altri casi, il sito può infettare il dispositivo della vittima con malware o spyware.

Poi c’è il quishing tramite falsa compagnia di assicurazioni: Il truffatore invia alla vittima un QR Code associato alla targa dell’autovettura da esibire presso le ricevitorie abilitate per effettuare il pagamento. In realtà, il QR Code non contiene i dati dell’agenzia assicurativa ma quelli del truffatore: in questo modo si realizza la truffa e l’utente non riceve alcuna copertura assicurativa.

Difendersi non è così facile, ma è possibile, avverte la polizia. “Attenzione alle chiamate, ai messaggi o alle sponsorizzazioni sui social network dove falsi operatori assicurativi propongono polizze a un prezzo molto vantaggioso; Controllare attentamente il contenuto della comunicazione: errori grammaticali, formati insoliti o richieste urgenti sono segnali di allarme; Verificare l’autenticità del mittente contattando direttamente l’ente o il corriere indicato; Verificare l’indirizzo del sito che si apre dopo aver scansionato il codice, diffidando di URL abbreviati o differenti, anche parzialmente, dal dominio ufficiale; Evitare di scansionare QR code presenti su lettere, pacchi o avvisi non richiesti; Non effettuare pagamenti elettronici tramite QR Code; Utilizzare un’App per QR code sicura, che controlli il link prima di aprirlo.

Non fornire informazioni sensibili su siti di cui non si è certi dell’autenticità; In caso di dubbi, contattare il servizio clienti ufficiale del corriere o dell’ente coinvolto; Se si sospetta una truffa, segnalare il caso alla Polizia Postale attraverso il sito ufficiale www.commissariatodips.it; Se si sono inseriti dati finanziari, contattare subito la banca o il gestore della carta; Effettuare una scansione antivirus per individuare ed eliminare eventuali malware; Se sono stati forniti dati personali, modificare le credenziali di accesso ai servizi online; Se si sospetta di essere vittima di una truffa, denunciare subito l’accaduto alla Polizia Postale o a qualsiasi altro Ufficio di Polizia”.