Il quishing, o QR phishing, è una pericolosa minaccia alla sicurezza informatica di smartphone, tablet o computer. E può costarti caro. Puoi perfino ritrovarti con il conto corrente a zero. I cyber criminali utilizzano i QR code (i codici a barre di forma quadrata in bianco e nero) per reindirizzare le vittime a siti web dannosi o indurle a scaricare contenuti pericolosi, come un virus informatico. L’obiettivo di questi cyber attacchi è di:
- sottrarre informazioni sensibili, come le password;
- rubare dati finanziari, come il numero della carta di credito o il codice IBAN del conto corrente.
Queste informazioni sono poi usate per mettere a segno attività illegali. Per esempio:
- un furto di identità;
- una frode finanziaria;
- un attacco ransomware (ossia bloccare le funzioni di un dispositivo e chiederne un riscatto per “liberarlo”).
Prima di scoprire come funziona questa truffa, se sei alla ricerca di un conto corrente vantaggioso a dicembre 2024, consulta il comparatore di SOStariffe.it per trovare le offerte più convenienti tra le banche partner. Per avere una panoramica delle proposte, premi sul pulsante verde qui sotto:
CONFRONTA I CONTI CORRENTI »
Quishing: cos’è e come funziona questa truffa svuota conto corrente
|
|
QUISHING, LA TRUFFA DEL QR CODE IN PILLOLE |
|
1 |
Il quishing, o QR phishing, è la tecnica del phishing tramite l’uso di un QR code contraffatto |
|
2 |
Il quishing è un tipo di attacco di phishing in cui sei portato con l’inganno e la buona fede ad accedere a falsi e dannosi siti Internet per scaricare virus informatici dopo aver scansionato un QR code |
|
3 |
Gli ultimi casi di quishing denunciati:
- la “truffa del postino” commessa in Svizzera e in Italia
- la frode del premio in denaro che si vince ascoltando un messaggio vocale crittografato tramite QR code
|
Il quishing riesce in tanti casi ad aggirare le difese informatiche convenzionali dei gateway in entrata, i server di posta elettronica che controllano se una email sia uno spam e cercano se l’email contenga allegati o software dannosi.
I QR code nelle email sono percepiti da molti gateway di posta elettronica come sicuri: semplici immagini prive di rischi. Gli hacker e i truffatori lo sanno e ciò rende gli utenti più vulnerabili a questo specifico attacco. A volte i QR code sono inviati alle vittime come messaggio WhatsApp o Telegram con l’invito a scaricare un’app utile, inquadrando un QR code all’interno del quale si nasconde un malware che permette da remoto di:
- rubare i dati presenti nel dispositivo;
- leggere SMS, messaggi ed email.
Che cos’è un QR code? Il Quick Response Code, più noto con l’abbreviazione QR code, è tecnicamente un codice a barre bidimensionale a risposta rapida. È composto da moduli neri disposti all’interno di uno schema bianco di forma quadrata. Il QR code è impiegato in genere per memorizzare una grossa quantità di informazioni destinate ad essere lette tramite un apposito lettore ottico o anche da uno smartphone.
In un attacco quishing, i criminali informatici creano un QR code alterato e lo collegano a un sito web fraudolento. In genere, il QR code è incorporato in:
- email di phishing;
- post sui social media;
- SMS o messaggi vocali;
- volantini stampati;
- oggetti fisici.
In questo modo, utilizzano tecniche di ingegneria sociale per adescare le vittime. Per esempio? In uno degli ultimi casi le vittime ricevono un’email che le esorta ad accedere a un messaggio vocale crittografato tramite un QR code per avere la possibilità di vincere un premio in denaro.
Dopo aver utilizzato lo smartphone per scansionare il QR code, si viene indirizzati al sito Internet che richiede di inserire:
- informazioni personali (nome, cognome, data di nascita);
- informazioni di accesso (password);
- dati finanziari (numero della carta di credito, codice IBAN).
Una volta acquisite queste informazioni sensibili, i cyber criminali possono sfruttarle per vari scopi illeciti, a cominciare da rubare soldi dal tuo conto corrente ed eseguire pagamenti fraudolenti con la tua carta di credito o di debito.
Quishing: i consigli su come proteggersi da questo cyber attacco
Per gli esperti di cyber sicurezza, allo scopo di ridurre il rischio di cadere vittime di attacchi di quishing, la prima mossa utile da fare è di evitare l’invio di informazioni personali e bancarie a siti Internet sospetti, o effettuare pagamenti o scaricare qualsiasi app, allegato o software da un sito web da cui si accede solo tramite un QR code. Inoltre è buona pratica, per difendersi dalle truffe conto corrente, seguire anche questi consigli:
- evitare di cliccare sugli annunci pubblicitari e sui link sponsorizzati che compaiono sui social network e che rimandano a siti web sospetti;
- non aprire link sospetti che arrivano tramite messaggio o email su smartphone, tablet o pc;
- non scaricare app non sicure. Potrebbero contenere dei malware che rubano i dati bancari;
- scaricare le app solamente dagli store ufficiali;
- controllare che la tua carta di credito o di debito abbia attivi gli alert per segnalarti le transazioni e i sistemi di protezione antifrode;
- verificare sempre eventuali richieste anomale provenienti dalla tua banca: telefonate, e-mail, SMS, messaggi su WhatsApp. Meglio chiamare direttamente la filiale e informarsi con gli addetti sulla richiesta arrivata;
- controllare con regolarità il saldo del conto corrente per accertarsi che non ci siano transazioni non autorizzate.
