Il quishing è una forma di frode che utilizza QR Code fraudolenti per ingannare gli utenti. Questa truffa sfrutta la fiducia che le persone ripongono nei QR code, spesso utilizzati per accedere rapidamente a informazioni o effettuare pagamenti.
Non è un caso che, proprio in questi giorni, l’istituto bancario Unicredit stia allertando i propri clienti in merito a questa pratica molto pericolosa e dalle conseguenze spiacevoli.
Indice degli argomenti
La minaccia del quishing
Il QR Code (Quick Response Code), come noto, è un tipo di codice bidimensionale composto da una matrice di quadratini neri su sfondo bianco che può contenere maggiori informazioni rispetto al tradizionale codice a barre.
Una volta scansionato tramite la fotocamera dello smartphone, può reindirizzare verso un sito web, un contatto o un’applicazione.
La sua diffusione, emersa nel corso dell’emergenza pandemica (Green Pass), ha reso il QR code interessante anche per i criminali informatici che hanno dato vita ad una nuova tipologia di phishing.
Secondo recenti ricerche ci sarebbe stato un aumento del 587% del fenomeno tra agosto e settembre 2023, con un incremento dallo 0,8% nel 2021 fino a quasi l’11% nella prima metà del 2024.
L’allerta quishing di Unicredit
Con una notifica in app e su home banking via web, la nota banca sta mettendo in guardia i propri correntisti, in quanto sarebbero stati rilevati tentativi di frode ai danni della clientela che sfruttano proprio dei QR Code fraudolenti.
I truffatori possono inviare comunicazioni via e-mail o posta tradizionale che sembrano provenire dall’istituto di credito, contenenti QR Code che, una volta scansionati, possono invece scaricare malware o reindirizzare a siti cloni della banca.
Fonte: Unicredit.
Esempi di altre truffe recenti
Diverse sono le truffe perpetrate e basate sul quishing che hanno interessato anche l’ambito assicurativo e i possessori di auto.
In tutti i casi l’utente che scansiona un QR code per usufruire di un servizio, viene indirizzato a un sito apparentemente legittimo e spesso finisce per inserire i propri dati sensibili (credenziali di accesso o estremi della carta di credito) su una pagina in realtà controllata dai truffatori:
- Colonnine di ricarica per veicoli elettrici.I truffatori applicano adesivi con QR code falsi sulle colonnine di ricarica. Quando gli utenti scansionano questi codici, vengono reindirizzati a siti web fraudolenti che raccolgono dati personali e finanziari.
- False multe.A Milano e provincia, sono state segnalate false multe lasciate sui parabrezza delle auto, con QR code per il pagamento. Scansionando questi codici, le vittime venivano indirizzate a siti fraudolenti.
- False assicurazioni. Falsi operatori assicurativi contattano le vittime attraverso chiamate, messaggi o sponsorizzazioni social, offrendo polizze a prezzi vantaggiosi se pagate tramite QR code.
- Parchimetri. I truffatori inseriscono falsi codici QR sui parchimetri, inducendo gli utenti a scansionarli per pagare il parcheggio. Essendo, tuttavia, una transazione illegittime, gli utenti vengono reindirizzati a siti web dannosi che rubano le loro informazioni di pagamento.
Come proteggersi dal quishing
Per proteggersi dal quishing, UniCredit consiglia di:
- non fornire mai informazioni riservate come codici di adesione, PIN o numeri di carta a terzi;
- diffidare dei QR Code ricevuti tramite e-mail o posta e utilizzare solo i canali ufficiali della banca per qualsiasi operazione;
- segnalare e-mail sospette alla propria filiale o al servizio clienti per verificare l’autenticità del messaggio.
In generale, si consiglia altresì di verificare sempre la validità dell’indirizzo web del sito a cui si viene indirizzati e segnalare i QR Code sospetti agli operatori del servizio legittimo.
Le organizzazioni nei propri ambiti di competenza dovrebbero anche prendere in considerazione controlli di sicurezza aggiuntivi che possano contrastare le diverse declinazioni del phishing come filtri antispam, solide politiche di sicurezza della posta elettronica e, autenticazione 2FA, accrescendo la consapevolezza del proprio personale.
