Un gesto semplice e spontaneo come scannerizzare un codice QR può nascondere delle insidie che possono portare alla perdita di dati o soldi. Ecco come difendersi dal QRishing
Trovare un codice QR mentre si cammina per strada appeso a un muro o su un volantino è diventato molto comune. Il motivo di ciò è dovuto alla praticità di questi codici: è sufficiente scannerizzarli per essere rimandati direttamente su un determinato sito, che generalmente contiene informazioni su un evento o su una promozione.
Questa tecnologia è molto comoda, ma allo stesso tempo può nascondere anche delle insidie, poiché è possibile che il sito su cui il QR ci rimanda sia pericoloso. Di fatto, esiste una truffa online basata sui codici QR, ma nonostante la sua pericolosità è sconosciuta a molti, si chiama QRishing. Questa tecnica si basa sostanzialmente sul diffondere dei codici scannerizzabili dietro cui si nascondono dei siti dannosi per l’utente che vi accede.
Molti hacker, utilizzando metodi di ingegneria sociale, hanno attirato degli ingenui utenti di Internet su dei codici QR diffusi nei luoghi più disparati e, una volta che gli hanno spinti con l’inganno a scannerizzare i codici QR, hanno rubato loro dati o soldi.
Come funziona il QRishing
Il termine QRishing si ispira volontariamente al ben più popolare termine phishing, ossia la pratica di adescare con l’inganno un utente di Internet per espropriarlo di dati o soldi.
Se l’obiettivo è il medesimo, cioè rubare dati o denaro all’utente, il modus operandi di chi adesca con il QRishing è molto diverso. Uno dei metodi più popolari si basa sul posizionare esattamente sopra un codice QR innocuo (come ad esempio quello di un menù all’interno di un bar), uno malevolo, che invece conduce a un sito dannoso per l’utente. I codici utilizzati dai malfattori sono adesivi e ben realizzati per non essere riconoscibili, è perciò necessario prestare estrema attenzione, o si rischia di cadere nella loro trappola.
Un secondo metodo spesso utilizzato è quello di affiancare a un QR malevolo un simbolo di un brand ben noto, che ispiri fiducia. In questo modo, i malfattori sperano che gli utenti, rassicurati da quel simbolo così familiare, scannerizzino e aprano il link, cadendo così vittime del loro inganno.
Un terzo metodo molto comune utilizzato dagli hacker per tendere delle trappole di QRishing è quello di condividere, ad esempio tramite e-mail, dei codici QR che promettano di offrire sconti o promozioni. Tuttavia, una volta scannerizzato il codice ed effettuato l’accesso, l’utente si rende conto non soltanto di non aver ottenuto la promozione, ma anche peggio di essere stato truffato.
QRishing: come fare per evitarlo
Evitare il QRishing non è semplice, in quanto - purtroppo - molte persone si sono abituate ad aprire i link contenuti dietro i codici QR con una grande serenità, talvolta eccessiva.
È fondamentale ricordare che Internet, sebbene sia un luogo che offre grandi opportunità di crescita e di guadagno, nasconde anche molte insidie, è perciò fondamentale tutelarsi e utilizzare delle norme di comportamento che contribuiscano a tenerci lontani dai pericoli come il QRishing.
Oltre alle semplici norme comportamentali che ogni utente dovrebbe conoscere (non aprire un link di cui non conosci la provenienza ecc.), ci sono anche delle regole ad hoc da tenere a mente per evitare questo tipo di minaccia specifica: la prima è sicuramente quella di essere sospettosi verso i QR che si trovano per strada, appesi ai muri o sui volantini lasciati in giro; se non sapete che origine hanno e chi li ha messi lì, meglio non aprirli.
leggi anche
Truffa online: come si denuncia e cosa fare
La seconda regola è quella di controllare gli URL, specialmente quelli abbreviati, che possono nascondere la loro fonte di origine. Se vi imbattete in un URL che non conoscete o che reputate potenzialmente dannoso, non apritelo.
È infine consigliabile dotarsi di un sistema di protezione per il proprio smartphone qualora si desideri scannerizzare un codice QR; gli smartphone infatti, a differenza dei PC non segnalano quando l’utente sta cercando di entrare in un sito non sicuro. Dotandosi di un’applicazione di protezione, si potranno scannerizzare i codici QR con maggiore serenità, ma mai senza attenzione.
Qualora si cada vittime di un QRishing, così come per qualsiasi tentativo di hackeraggio, è importante ricordare che è necessario non perdere la calma, ma cercare di avvisare il più velocemente possibile la Polizia postale, che saprà come fare per intervenire e sistemare la situazione.
© RIPRODUZIONE RISERVATA