I codici QR (Quick Response) sono diventati uno strumento quotidiano per accedere a menu, effettuare pagamenti o consultare informazioni. Tuttavia, la loro praticità nasconde un rischio crescente per la sicurezza dei consumatori: il furto di dati personali attraverso una tecnica nota come “quishing”. Si tratta di una forma di phishing che, invece di utilizzare link in email o SMS, si serve di QR Code manipolati per indirizzare le vittime verso siti web fraudolenti. La Polizia Postale ha evidenziato questa minaccia, sottolineando la necessità di adottare maggiore cautela.
Cos’è il Quishing e Come Funziona
Il termine “quishing” nasce dalla fusione di “QR Code” e “phishing”. La meccanica della truffa è semplice ma efficace. I criminali informatici creano un QR Code che, una volta scansionato, non conduce al sito legittimo atteso, ma a una pagina web contraffatta, spesso identica nell’aspetto a quella originale. L’obiettivo è ingannare l’utente per indurlo a compiere azioni che compromettono la sua sicurezza.
Una volta sulla pagina falsa, alla vittima può essere richiesto di:
- Inserire credenziali di accesso: username e password di account social, email o servizi di home banking.
- Fornire dati personali: nome, cognome, indirizzo, codice fiscale o numero di telefono.
- Comunicare informazioni finanziarie: numeri di carte di credito, data di scadenza e codice CVV.
- Scaricare un’applicazione o un file: questi download nascondono quasi sempre malware, come spyware o virus, che si installano sul dispositivo per spiare le attività dell’utente o prenderne il controllo.
Il principale vantaggio per i truffatori è che l’URL di destinazione non è immediatamente visibile, rendendo più difficile per l’utente riconoscere il pericolo prima di aver già raggiunto il sito malevolo.
Scenari Comuni: Dove si Nascondono i QR Code Pericolosi
I tentativi di quishing possono verificarsi in contesti molto diversi, sia online che offline. I criminali sfruttano luoghi e situazioni in cui l’uso dei QR Code è comune, sostituendo i codici legittimi con i propri adesivi contraffatti. È fondamentale prestare attenzione in particolare a questi scenari:
- Parcheggi e colonnine di ricarica: I truffatori applicano adesivi con QR Code falsi sui parcometri o sulle stazioni di ricarica per veicoli elettrici, inducendo gli automobilisti a inserire i dati di pagamento su siti clone.
- Ristoranti e locali pubblici: Menu digitali, promozioni o moduli per la connessione Wi-Fi possono essere sostituiti con codici malevoli.
- Volantini e manifesti: Annunci di eventi, sconti o offerte speciali affissi in luoghi pubblici possono contenere QR Code che portano a truffe.
- Email e messaggistica: Un’email che sembra provenire dalla propria banca o da un corriere può contenere un QR Code per “sbloccare un pacco” o “verificare l’account”, aggirando i filtri anti-phishing che analizzano solo i link testuali.
- Fatture e bollette: Documenti apparentemente ufficiali, ricevuti via posta o email, possono includere un QR Code per un presunto pagamento che in realtà dirotta i fondi verso i truffatori.
Come Difendersi dalle Truffe con i QR Code
La protezione dal quishing si basa sulla consapevolezza e sull’adozione di buone pratiche di sicurezza, simili a quelle usate per difendersi dal phishing tradizionale. La Polizia Postale e gli esperti di sicurezza informatica consigliano di seguire alcune regole fondamentali prima e dopo la scansione di un codice.
Cosa fare per proteggersi:
- Ispezionare il codice fisicamente: Prima di scansionare un QR Code su un manifesto o un parcometro, verificare che non sia un adesivo applicato sopra un codice originale. Se appare manomesso, è meglio non usarlo.
- Controllare l’URL prima di procedere: La maggior parte degli smartphone moderni mostra un’anteprima del link dopo la scansione. Leggere attentamente l’indirizzo web. Diffidare di URL abbreviati (es. bit.ly), domini con errori di battitura (es. “amaz0n.com”) o indirizzi che non corrispondono all’ente o all’azienda che dovrebbero rappresentare.
- Non inserire mai dati sensibili: Evitare di inserire password, codici di accesso o dettagli della carta di credito su un sito raggiunto tramite QR Code, a meno di essere assolutamente certi della sua autenticità. In caso di dubbio, è preferibile digitare manualmente l’indirizzo del sito ufficiale nel browser.
- Diffidare delle richieste urgenti: Le truffe spesso fanno leva su un senso di urgenza, come un pagamento da effettuare immediatamente per evitare una multa o un’offerta a tempo limitato. Mantenere sempre la calma e valutare la richiesta con lucidità.
- Utilizzare app di scansione sicure: Alcune applicazioni di sicurezza per smartphone includono scanner di QR Code che possono analizzare il link di destinazione e avvisare in caso di siti noti per essere pericolosi.
La crescente diffusione dei QR Code li rende un bersaglio privilegiato per i criminali informatici. Trattare ogni codice con la stessa diffidenza riservata a un link sconosciuto ricevuto via email è il primo e più importante passo per proteggere i propri dati e la propria sicurezza finanziaria.
Per assistenza o per segnalare il tuo caso, contatta Sportello Consumatori.
Per assistenza contatta Sportello Consumatori
Via Fratelli Cervi 64, 00053 Civitavecchia
Segreteria telefonica e WhatsApp: 0766036164
Email: contattaci@sportelloconsumatori.org
