Il quishing avanza in Europa, Italia inclusa, e non è sfuggito alla Polizia Postale che invita da mesi alla cautela, come si legge in questo comunicato.
Poiché sfrutta i codici QR, si espande a tutto ciò che ne fa uso, incluse le colonnine di ricarica per le auto elettriche. Non vogliamo creare allarmismi ma, come sempre, invitiamo alla prudenza.
Quando usiamo lo smartphone facciamo spesso azioni e operazioni in modo quasi automatico ed è proprio questa tendenza che fa gola al cyber crimine.
Qui illustriamo come funziona il quishing e a quali rischi può esporsi chi vi ricorre quando si serve delle colonnine di ricarica. Va detto che il rischio quishing riguarda qualsiasi contesto in cui ci si confronta con un codice QR.
In seguito, ci concentriamo su alcuni semplici modi per limitare il pericolo, con il supporto dell’ingegnere Pierluigi Paganini, Ceo Cybhorus e Membro Ad-Hoc Working Group on Cyber Threat Landscapes – ENISA (European Union Agency for Network and Information Security).
QRishing, vishing e smishing, quando il telefono diventa vettore di truffe: come difendersi
Indice degli argomenti
Cos’è il quishing
Il quishing è una tecnica usata dagli hacker i quali, mediante codici QR, dirottano il traffico web verso siti fraudolenti al fine di raccogliere i dati personali e bancari degli utenti. In alternativa, il quishing viene usato per infettare i dispositivi con malware di vario genere.
Inquadrare un codice QR con la fotocamera del proprio smartphone è comodo e automatico ma non esente da rischi, anche perché se ne trovano ovunque: sulle confezioni dei prodotti che acquistiamo, sui siti web che visitiamo, sulle biglietterie automatiche dei mezzi pubblici, sui cartelloni pubblicitari.
Molto spesso sono codici affidabili, ma la cultura del dubbio è un’arma potente contro il cyber crimine.
Il quishing e le colonnine di ricarica
Le autovetture tecnologicamente avanzate tendono a soffrire di particolari vulnerabilità e chi ne possiede una dovrebbe essere consapevole dei rischi ai quali può andare incontro seppure in modo potenziale.
Questa cultura non deve essere messa in pausa quando si ricaricano le vetture elettriche le quali, guadagnandosi fette di mercato più ampie, diventano tentazioni per il cyber crimine. I truffatori sovrappongono con un codice QR artificiale quello presente sulle colonnine che consente di avviare la ricarica in modo pratico e veloce.
Inquadrando il falso codice QR, l’utente viene indirizzato verso un sito web simile a quello ufficiale e inserendo i propri dati e le informazioni di pagamento, le serve su un piatto d’argento agli hacker.
Questione di praticità sulla quale è opportuno soffermarsi un momento: le app degli operatori del mercato dell’elettrico danno la possibilità agli utenti di inquadrare un codice QR per iniziare la ricarica della propria vettura. Questo elimina la necessità di usare una canonica tessera fisica ed elimina alcune attività manuali.
Praticità e comodità, certo, che però favoriscono i malintenzionati.
Andrebbe rivista una delle accezioni di ciò che è pratico, includendovi anche il minore rischio. Meglio usare un codice QR e esporsi a pericoli oppure ricorrere a una tessera e ridurli? Da qui dovrebbe susseguire una definizione più attuale di “praticità” e “comodità”.
I rimedi
Prima di addentrarci nelle tecniche utili a ridurre il rischio, va detto che le automobili elettriche dotate di Plug & Charge sono esenti dal rischio quishing, poiché è una tecnologia che facilita il riconoscimento del veicolo e delle attività di ricarica senza richiedere ulteriori dati e, quindi, eliminando la necessità di ricorrere a un codice QR.
L’ingegner Paganini spiega che: “Ci sono diversi suggerimenti che possono sicuramente mettere gli utenti al riparo da attacchi che utilizzano i QR code come vettore, eccone alcuni:
- Diffidiamo da QR code affissi in luoghi pubblici o presenti in luoghi dove non dovrebbero essere esposti. Qualcuno potrebbe far leva sulla curiosità degli utenti per ingannarli.
- Utilizzare app sicure per la scansione dei codici QR, ovvero applicazioni che implementino anche funzionalità di sicurezza, come la verifica dell’URL e la protezione contro contenuti e minacce. Ve ne sono diverse ed evito di menzionarle per non fare pubblicità. Alcune app inoltre permettono anche di visualizzare l’URL prima di aprirlo, consentendo agli utenti di verificare che l’URL corrisponda ad una fonte ritenuta attendibile.
- Evitare di fornire informazioni sensibili e finanziarie attraverso form che sono raggiungibili mediante la scansione di un QR code. È buona norma controllare che il codice non sia stato alterato mediante l’apposizione di un adesivo su un QR code legittimo stampato su un cartello”.
Non si tratta di creare allarmismi ma si invita alla cautela. I codici QR non sono tutti fasulli, tuttavia, non è buona prassi affidarcisi ciecamente.
Anche Pierluigi Paganini si è imbattuto in un episodio sgradevole: “Mi è capitato in un autonoleggio di vedere un QR code attaccato con un adesivo con il logo della società di noleggio che prometteva di ridurre i tempi del check-in. Si trattava di un sito falso che richiedeva i dati della carta di credito per il noleggio del veicolo.”
“In questo caso, senza le dovute cautele, gli utenti consegnano ai criminali i dati dei propri mezzi di pagamento.
I codici QR hanno guadagnato popolarità negli ultimi anni, specialmente durante la pandemia, quando la paura del contagio ha spinto molte organizzazioni a utilizzare tecnologie per evitare il contatto diretto con i clienti. Riconosciamo a questa tecnologia vantaggi come la comodità e la versatilità.
Tuttavia, diverse sono le tipologie di attacco che possano sfruttarla, pensiamo a campagne di phishing e altre frodi.
La facilità con cui possono essere creati e distribuiti rende difficile per gli utenti distinguere tra codici legittimi e malevoli. Ritengo che quando ci si approccia a qualunque tecnologia, e i codici QR non fanno eccezione, sia fondamentale educare gli utenti sui possibili rischi. Le aziende dovrebbero fornire informazioni su come utilizzare i codici in modo sicuro e su come riconoscere potenziali minacce.
Semplici suggerimenti possono consentire agli utenti di utilizzare qualunque tecnologia in tutta sicurezza evitando di cadere vittima di attacchi”.
