Attenzione a non scansionare i QR Code se non è strettamente necessario e se sono di provenienza ignota, lo strumento è tutt’altro che sicuro. Inquadrare un QR Code con lo smartphone ha lo stesso effetto del cliccare su un link ignoro. Nei mesi recenti ci sono state notizie di diversi tipi di truffe con questo strumento.
PHISHING TRAMITE “QR CODE”
In questo caso il truffatore induce la vittima ad inquadrare un codice che apre una pagina dall’aspetto noto (es. la pagina di login di un istituto bancario, di Instagram o di Gmail…) che invita ad inserire le credenziali di accesso del proprio account con l’obiettivo di rubare tali credenziali o di accedere al sistema di home banking. In un caso una campagna di phishing ha inviato messaggi apparentemente provenienti da un grande istituto bancario europeo che comunicavano al destinatario l’imminente scadenza della propria carta bancomat e invitavano a inquadrare un QR Code per chiederne una nuova. Inquadrando il codice si apriva la (falsa pagina di login della banca stessa e se la vittima proseguiva rischiava di dare accesso all’attaccante al proprio conto.
In una variante a questo schema un attaccante ha sostituito i QR Code presenti nelle macchine di pagamento automatico di un posteggio con un codice falso che portava le vittime a collegarsi ad una falsa pagina di PayPal per il pagamento, con conseguente furto delle credenziali di accesso.
In altri casi più “classici” il link del QR Code porta a a scaricare un malware, ma ci sono diverse varianti molto fatasiose per attuare truffe tramite questo strumento. Essendo poi un sistema utilizzato per le transazioni in criptovalute, può costituire anche un grosso rischio in questi casi.
COME PROTEGGERSI
Come nel caso del phishing, non c’è una vero metodo di protezione certo, la cosa da fare è essere molto sospettosi prima di scansionare un QR Code e non farlo se non è necessario e se la provenienza del codice non è verificata. Naturalmente, se qualcuno ci avvicina e ci chiede di scansionare un QR Code per “vedere cosa succede” o con altre motivazioni, evitiamo di procedere. L’uso di un buon sistema antimalware può aiutare ma, anche in questo caso, non nella totalità dei casi.