Truffa con QR Code: come riconoscerla prima che sia troppo tardi
Un QR Code può portarti in pochi secondi al sito giusto, ma anche a una truffa ben congegnata. Dal pagamento di una falsa multa ai parchimetri manomessi, ecco come funziona il quishing, quali rischi comporta e come difendersi.
Nel campo in continuo aggiornamento dei neologismi informatici, un posto particolare lo occupano quelli che descrivono nuove tecniche di truffa. I criminali informatici sono infatti costantemente alla ricerca di modi sempre nuovi per sottrarre dati personali e denaro alle vittime. È così che negli ultimi anni si è diffuso il termine quishing, nato dalla fusione tra QR Code e phishing.
QR Code: cosa sono e perché vengono usati
Per capire come funziona il quishing e come possiamo proteggerci, occorre prima capire cos'è un QR Code. Quel piccolo quadratino composto da moduli bianchi e neri è ormai una presenza familiare nei menu digitali dei ristoranti, nei pagamenti della Pubblica Amministrazione tramite PagoPA e perfino sui cartelloni pubblicitari.
Quando navighiamo su internet da computer o smartphone, qualsiasi sito è a portata di clic: basta selezionare un link per essere immediatamente reindirizzati alla pagina desiderata. Nel mondo fisico, però, raggiungere un sito web non è altrettanto immediato. Un tempo si doveva digitare manualmente un indirizzo spesso lungo e complesso, con il rischio di commettere errori o rinunciare del tutto. Il QR Code è nato proprio per semplificare questo passaggio: basta inquadrarlo con la fotocamera dello smartphone per aprire immediatamente il contenuto a cui rimanda. In pratica rappresenta l'equivalente fisico di un link cliccabile. Una soluzione estremamente comoda per utenti, aziende ed enti pubblici, ma che può essere sfruttata anche dai truffatori per attirare le vittime verso siti malevoli.
Cos’è il quishing e come funziona
Il phishing tradizionale si basa sull’inganno: ricevi una mail, un sms, un whatsapp, pensi che sia la tua banca, la polizia, l’albergo che hai prenotato per le vacanze, e invece è un malvivente che si è finto tale per procurarsi le informazioni necessarie per fregarti i dati personali o i soldi, più o meno direttamente.
Il quishing funziona allo stesso modo, ma con i QR code: vedi un QR code, pensi che sia quello legittimo di un ristorante, di un modulo di pagamento di una multa, di un’offerta di sconto allettante, e invece è un QR Code preparato da un malvivente, che ti attirerà su un sito fasullo, realizzato apposta per fregarti i dati personali o, più o meno direttamente, i soldi.
Rispetto al phishing tradizionale, il quishing presenta un pericolo aggiuntivo: il messaggio di phishing tradizionale che riceviamo in genere interrompe una nostra attività. Stai guardando la partita sul divano, ti arriva un sms con scritto “Arma dei Carabinieri: rilevati dei bonifici sospetti, contatta il nostro centro di sicurezza”. La prima reazione è assai probabile sia di fastidio, non certo quella di mettere mano al portafoglio, soprattutto adesso che ormai abbiamo capito quanto questi tentativi di truffa siano diffusi. Quando siamo per strada, invece, la percezione di poter essere vittime di un raggiro informatico è molto minore per non dire del tutto assente. E se la truffa è congegnata bene, il momento dell’innesco arriva proprio quando già ci apprestiamo a pagare per qualcosa.
Torna all'inizioI casi più comuni di truffe con QR Code
I truffatori sfruttano soprattutto il contesto e la fretta del momento. Ecco gli scenari più frequenti registrati negli ultimi mesi:
- multe false sul parabrezza: viene lasciato un finto verbale sul parabrezza dell'auto con un QR Code che invita a pagare rapidamente per usufruire di una riduzione dell’importo della multa;
- parchimetri e colonnine di ricarica: i criminali incollano un adesivo con un finto QR Code sopra quello originale del gestore. L'automobilista, pensando di pagare la sosta o la ricarica dell'auto elettrica, inserisce i dati della carta di credito in un sito civetta;
- ristoranti e menu digitali: in contesti molto affollati, sui tavoli possono essere applicati adesivi contraffatti che rimandano a finti menu dove viene richiesto un pagamento anticipato o la registrazione di un profilo;
- posta civetta: ricevi una lettera che contiene un depliant che parla di un premio che puoi riscattare inquadrando un apposito QR code. Oppure ricevi un pacco, inatteso, contenente oggetti di bassissimo valore, nel pacco c’è anche un QR Code da inquadrare “in caso di problemi”. Sono due modalità che i truffatori usano per ingannarci e farci finire su un loro sito, da cui poi cercheranno di estrarre le informazioni necessarie per fregarci.
È da notare come ci possa essere anche una fusione tra phishing tradizionale e quishing, ovvero il tentativo di truffa via QR può anche arrivare tramite mail, per esempio una avvisa di un presunto blocco del conto corrente o della necessità di aggiornare l'app di home banking, chiedendo di inquadrare un QR Code allegato per "motivi di sicurezza". Questa nuova tecnica viene utilizzata perché ormai i filtri antispam delle email sono diventati bravissimi a leggere il testo e a bloccare i link truffaldini scritti in testo leggibile. Ma fanno ancora parecchia fatica a interpretare le immagini. Inserendo il link dentro un QR Code (che per il filtro è solo un'immagine innocua), i truffatori aumentano la probabilità di superare la cartella spam e arrivare dritti nella posta in arrivo della vittima.
Torna all'inizioCosa succede se scansioni un QR Code malevolo
La semplice scansione del codice con la fotocamera, di per sé, raramente è sufficiente a infettare il dispositivo, ma apre la porta a tre rischi principali:
- furto di credenziali: si viene indirizzati a una pagina di login identica a quella della propria banca, di Poste Italiane o di un social network. Se si inseriscono nome utente e password, questi finiscono direttamente nelle mani dei truffatori;
- perdita finanziaria diretta: viene richiesto un pagamento (ad esempio per una sosta o una spedizione sospesa) che autorizza un prelievo a favore dei criminali o, peggio, l'attivazione di abbonamenti svantaggiosi;
- download di malware: il link può avviare il download automatico di un file infetto, capace di spiare le attività sullo smartphone.
I segnali per riconoscere un QR Code falso
Prevenire il quishing è possibile prestando attenzione ad alcuni dettagli fondamentali:
- controlla l'integrità fisica: Se il QR Code si trova su un cartello pubblico, una bolletta o un parchimetro, toccalo. È un adesivo appiccicato sopra il supporto originale? Se sì, non scansionarlo;
- diffida dall'urgenza: messaggi che impongono di agire subito per evitare sanzioni o blocchi del conto sono quasi sempre specchietti per le allodole;
- verifica l'anteprima del link: quando inquadri il codice, lo smartphone mostra sempre un'anteprima dell'URL (l'indirizzo web). Prima di cliccare, leggilo con attenzione. Spesso i siti truffaldini usano nomi simili a quelli reali ma con errori di ortografia o domini insoliti (es. comune-milano-pagamenti.net invece di .it);
- usa app di scansione sicure: molti antivirus per smartphone offrono scanner di QR Code integrati che analizzano la sicurezza del link prima di aprirlo nel browser.
Tentativo di truffa? Segnalalo
Le truffe online sono in continua evoluzione e sfruttano canali sempre diversi per colpire le vittime. Accanto alle tradizionali frodi via email, SMS e WhatsApp, stanno diventando sempre più diffusi anche i tentativi di quishing, che utilizzano QR Code falsi per indirizzare gli utenti verso siti fraudolenti e sottrarre dati personali o denaro.
Per aiutare i consumatori a reagire, abbiamo creato una piattaforma per segnalare le truffe online nell’ambito del progetto Digitalizzati, finanziato dal Ministero delle Imprese e del Made in Italy, con l’obiettivo di promuovere un uso consapevole delle tecnologie e rafforzare la capacità dei cittadini di difendersi dalle frodi online. Ricordati che segnalare un tentativo di truffa non serve solo a tutelare te stesso, ma anche a proteggere gli altri cittadini.
Torna all'inizioDomande frequenti
Rispondiamo ai dubbi più comuni sul quishing.
È sicuro pagare tramite QR Code?
La tecnologia in sé è sicura ed è protetta dagli standard bancari se utilizzata attraverso i canali ufficiali (come l'app della tua banca, PagoPA o circuiti come PayPal). Il rischio non è lo strumento, ma il luogo in cui si inseriscono i dati: accertati sempre che il pagamento avvenga all'interno dell'applicazione ufficiale o su un sito web con protocollo sicuro (https) e di cui hai verificato l'indirizzo.
I QR Code possono installare virus sul telefono?
Il QR Code agisce come un semplice link. La sola scansione non installa un virus, ma il sito a cui rimanda può avviare il download di un file dannoso (ad esempio un file con estensione .apk su Android). Non autorizzare mai l'installazione di applicazioni o il download di file provenienti da link aperti tramite QR Code.
Quali dati possono rubare i truffatori tramite QR Code?
Tutti i dati che l'utente decide di inserire nella pagina web di destinazione: numeri di carta di credito, codici di accesso all'home banking, credenziali della posta elettronica, dati anagrafici e numeri di telefono. Se viene installato un malware, i truffatori potrebbero persino intercettare gli SMS con i codici dispositivi OTP (One-Time Password).
Come verificare un link dopo aver scansionato un QR Code?
Prima di dare il consenso all'apertura della pagina, osserva l'anteprima dell'URL sullo schermo del telefono. Controlla che il nome del sito web corrisponda esattamente a quello dell'azienda o dell'ente pubblico in questione, diffidando di nomi troppo lunghi, complessi o con caratteri insoliti. In caso di dubbio, digita manualmente l'indirizzo del servizio nel browser senza usare il QR Code.
Nota: un tempo si usava dare come indicazione di sicurezza la presenza della scritta “https” all’inizio dell’indirizzo, ma ormai i truffatori si sono aggiornati e moltissimi siti truffaldini cominciano proprio con https: non va più considerata come garanzia di sito sicuro.
