I cybercriminali sono costantemente alla ricerca di nuovi modi per ingannare le persone: l’ultimo trucco che stanno usando è chiamato “quishing”.
Dopo il phishing, il vishing e lo smishing, ora è importante essere consapevoli del “quishing” e stare attenti per evitare di cadere in questa nuova truffa, che è sofisticata e pericolosa. Come in altre truffe, i criminali cercano principalmente di ottenere i nostri dati personali e di accedere ai nostri conti bancari.
Quishing: di cosa si tratta
Il “quishing” è un termine recente derivato dalla combinazione di “phishing” e “QR Code”. In sostanza, il “quishing” è una variante del phishing che sfrutta i codici QR. Ricordate che il phishing è una truffa online in cui i truffatori cercano di indurre le vittime a cliccare su un link contraffatto che sembra provenire da un’azienda, un ente pubblico o un’organizzazione legittima. L’obiettivo è sempre lo stesso: indurre l’utente a visitare un sito web pericoloso, dove potrebbe scaricare un virus o inserire le proprie informazioni personali o finanziarie.
Il “quishing” è particolarmente insidioso perché è difficile da individuare, veloce ed efficace. Negli ultimi tempi, si sente sempre più spesso parlare di casi di “quishing”, e molti esperti stanno lanciando allarmi per mettere in guardia le persone.
Ad esempio, di recente l’azienda di sicurezza informatica Malwarebytes ha emesso un avviso sul “quishing”, seguito da un avviso simile dal Better Business Bureau di Metro New York, un’organizzazione no-profit che certifica le aziende che seguono un codice di condotta trasparente. Anche in Italia, l’azienda di pagamento elettronico MyBank ha recentemente diffuso un avviso sul “quishing”. Quando gli avvertimenti si moltiplicano in poche settimane, significa che il problema sta crescendo e diventando sempre più grave.
Ma come funziona esattamente?
In una campagna di “quishing”, i truffatori inviano un messaggio, un’email o mostrano un codice QR dannoso su un sito web o persino su un cartello fisico. I codici QR possono essere creati da chiunque utilizzando appositi siti o software e possono contenere informazioni di vario tipo, incluso un link a un sito web pericoloso o un codice dannoso da eseguire sullo smartphone. La forza del “quishing” risiede nel fatto che per scoprire cosa c’è dietro un codice QR, è necessario scannerizzarlo con un’applicazione. Questo conferisce al codice un’apparenza di professionalità e ufficialità, aumentando la fiducia della vittima potenziale.
Una volta scannerizzato il codice QR con lo smartphone, la vittima si trova di fronte a un sito web fraudolento o esegue un codice dannoso, ad esempio, uno che induce il telefono a scaricare un malware. Da quel momento in poi, i meccanismi del “quishing” diventano simili a quelli del phishing. Se la vittima si fida del sito, potrebbe inserire i propri dati personali in un modulo, autorizzare un pagamento con lo smartphone o scaricare un virus senza rendersene conto. Nel migliore dei casi, la vittima finisce per condividere informazioni sensibili con i truffatori, mentre nel peggiore dei casi, consegna loro l’accesso al proprio conto bancario.
Per difendersi dal “quishing”, la prudenza è fondamentale. Prima di scannerizzare un codice QR, è importante porre delle domande sulla fonte del codice e verificare la sua legittimità. Inoltre, bisogna sempre prestare attenzione a segni di falsificazione sui siti web, loghi e altre informazioni che potrebbero apparire nelle pagine di destinazione. Mai inserire dati personali su siti web di cui non si è sicuri al 100%.
