I codici QR sono ovunque: menù digitali nei ristoranti, fermate dell’autobus, cartelloni pubblicitari e persino nelle email. Comodi e veloci da usare, sì, ma nascondono anche una nuova minaccia informatica che sta preoccupando gli esperti di cybersecurity: il quishing.
Questo termine nasce dall’unione di “QR” e “phishing” e descrive una tecnica ingannevole con cui i criminali informatici sfruttano codici QR contraffatti per reindirizzare le vittime verso siti fraudolenti, con l’obiettivo di rubare dati sensibili, installare malware o ottenere accesso remoto ai dispositivi.
Come funziona il quishing?
Lo schema è semplice quanto efficace. L’utente scansiona un codice QR – magari pensando di consultare un menù o ricevere un’offerta – ma viene invece reindirizzato a una pagina web contraffatta. Questi siti possono imitare fedelmente servizi noti come portali bancari, piattaforme di pagamento o social network, inducendo la vittima a inserire credenziali d’accesso, numeri di carta di credito o altri dati personali.
In alcuni casi, il link nascosto nel QR può persino avviare il download automatico di software malevoli, capaci di spiare l’attività del dispositivo o prenderne il controllo da remoto.
Cresce l’allarme in tutto il mondo
La diffusione dei codici QR ha facilitato enormemente il lavoro dei truffatori. Secondo un rapporto di Check Point Software, tra agosto e settembre 2023 si è registrato un aumento del 587% degli attacchi di phishing via QR code in Europa e negli Stati Uniti. Anche se in Paesi come il Brasile mancano dati ufficiali, gli esperti concordano: si tratta di un fenomeno in crescita a livello globale.
I luoghi pubblici sono i bersagli preferiti: è facile, ad esempio, sovrapporre un codice QR falso sopra uno legittimo in una fermata dell’autobus, senza che nessuno se ne accorga.
Come proteggersi dal quishing: consigli pratici
Ecco alcune buone pratiche per difendersi da questa nuova forma di attacco digitale:
- Controlla sempre il codice QR prima della scansione: verifica che non ci siano etichette incollate sopra, che il materiale non sia diverso da quello previsto o che il codice non appaia sospetto.
- Usa app per la lettura dei QR che mostrano l’URL completo prima dell’apertura: questo ti permette di verificare se il link punta a un dominio sospetto o falsificato (ad esempio, “banco-seguranca.com” invece di “bancoreal.com.br”).
- Aggiorna regolarmente il sistema operativo del tuo dispositivo: gli aggiornamenti contengono patch di sicurezza fondamentali per contrastare nuove minacce.
- Non inserire dati sensibili su pagine raggiunte tramite QR code, specialmente se il sito richiede azioni urgenti o propone offerte troppo allettanti per essere vere.
Attenzione anche a smishing, app clonate e Wi-Fi pubbliche
Il quishing non è l’unico pericolo digitale da cui difendersi. Tra le minacce più comuni ci sono anche:
- Smishing: si tratta di truffe via SMS che invitano a cliccare su link per risolvere problemi inesistenti (“il tuo pacco è stato trattenuto”, “hai vinto una carta regalo”). Il clic può portare a siti truffa o installare malware.
- App clonate: versioni false di applicazioni bancarie, di social o di delivery, distribuite tramite link sospetti o store non ufficiali. Una volta installate, richiedono permessi eccessivi e possono sottrarre dati personali o biometrici.
- Reti Wi-Fi pubbliche non sicure: spesso prive di crittografia, possono essere sfruttate per intercettare dati tramite tecniche come il man-in-the-middle. Questo consente ai criminali di acquisire password, email e informazioni bancarie.
Le migliori pratiche per proteggerti online
Per ridurre al minimo i rischi:
- Evita di collegarti a reti Wi-Fi sconosciute; se devi farlo, utilizza una VPN per crittografare i dati.
- Disattiva la connessione automatica alle reti aperte nelle impostazioni del telefono.
- Scarica le app solo da store ufficiali come Google Play Store o Apple App Store e leggi le recensioni prima di installarle.
- Non interagire con SMS o messaggi sospetti: le aziende serie non chiedono dati riservati tramite link.
- Contatta direttamente l’assistenza clienti se ricevi addebiti o comunicazioni inaspettate.
In conclusione
Viviamo in un mondo sempre più digitale, dove comodità e velocità vanno di pari passo con nuove forme di rischio. I dispositivi mobili, sempre connessi e pieni di dati sensibili, sono tra i bersagli preferiti dei cybercriminali. Ma con un pizzico di attenzione e l’adozione di semplici misure di sicurezza, è possibile proteggersi efficacemente e navigare in tutta tranquillità.
