Le truffe bancarie online sono in continua evoluzione e ora è stato approntato un nuovo sistema per carpire i dati sensibili dei malcapitati cittadini: il cosiddetto “Qrishing”. Questo raggiro si aggiunge alle ormai note tecniche di “phishing (e-mail fasulle inviate, ad esempio, a nome della banca), “smishing” (sms ingannevoli inviati nella chat autentica della banca) e “vishing” (telefonata di un falso operatore bancario).
Il “QRishing” ha l’obiettivo di sottrarre credenziali e dati sensibili dei conti correnti attraverso i codici “QR-Code”, cioè quelle immagini quadrate con moduli neri su fondo bianco che vediamo sempre più frequentemente su riviste e giornali o che troviamo incollate su molte vetrine di ristoranti e musei. I codici possono essere modificati per reindirizzare a link in grado di sottrarre dati e credenziali bancarie, senza che i cittadini se ne accorgano. La ragione per cui occorre aumentare l’attenzione sul fenomeno del Qrishing è che questo tipo di attacco sta iniziando a diffondersi ora e la sua conoscenza è ancora troppo poco diffusa.
“L’aumento dei codici QR ha indotto i cyber criminali a inventarsi una nuova tipologia di frode digitale che si basa sulla modifica o sostituzione di un QR-Code – racconta Mina Busi, presidente di ADICONSUM Bergamo -: l’utente che scansiona il codice viene dunque diretto verso un indirizzo internet differente da quello verso cui credeva di essere condotto. Tramite link malevoli o contraffatti, senza rendersene conto la vittima viene “aggredita” nei propri dati personali, che possono poi essere utilizzati da parte dei criminali informatici”.
Il Qrishing si traduce in attacchi di Phishing attuati per il tramite di codici QR e, proprio come nel caso degli attacchi via e-mail, fanno leva sulla curiosità del malcapitato inducendolo a scansionare inconsapevolmente i codici dannosi. Ma come avviene questo tipo di truffa?
“Molto spesso le applicazioni che utilizzano i codici QR non mostrano l’URL della pagina web di destinazione e ciò permette ai cyber-criminali di nascondere i link delle loro truffe. Tuttavia, se per gli attacchi via e-mail esistono già diversi sistemi di sicurezza dedicati, lo stesso non sembra valere per il QRishing, pratica meno conosciuta e investigata. Inoltre, i browser utilizzati durante la navigazione via smartphone, spesso non impiegano le stesse tecniche di sicurezza dei browser desktop, come ad esempio la possibilità di confrontare una URL con una lista nera, e questo aumenta considerevolmente il livello del rischi”.
Le tecniche più frequenti attraverso le quali vengono diffusi falsi QR-code in grado di trarre in inganno le potenziali vittime sono la sovrapposizione di una guaina trasparente sopra ai codici originali: questa tecnica si verifica soprattutto in luoghi considerati sicuri dalle vittime. La conseguenza di questo senso di sicurezza è la percezione che la scansione del codice QR proposto dal locale, dal negozio e in generale dal luogo di fiducia, sia esente da rischi; l’utilizzo di marchi di aziende note: per ingannare gli utenti il criminale informatico utilizza un codice malevolo che fa riferimento a un marchio reale, simulando una pubblicità, ad esempio attraverso un volantino o un manifesto, creato ad hoc; l’utilizzo di buoni sconto: sfruttando il fatto che gli utenti sono molto più propensi ad aprire i codici QR che offrono sconti, i criminali inseriscono codici malevoli in finti buoni a nome dei principali marchi online.
“Il pericolo che nasconde il Qrishing – continua Busi -deriva dalla tranquillità e dalla frequenza con cui gli utenti inquadrano codici QR, senza fare in tempo ad accorgersi di essere stati indirizzati verso pagine web truffaldine. Come difendersi: osservare il formato dei codici QR: il principale attacco Qrishing viene compiuto incollando un QR fasullo sopra quello originale; chiedersi chi ha generato quel codice QR: codici generati da applicazioni sicure, che svolgono una specifica funzionalità e non portano a siti in cui vengono richieste informazioni personali sono certamente meno pericolosi di codici esposti pubblicamente, nel mondo fisico o virtuale, che portano a siti in cui viene richiesto l’inserimento di informazioni personali; fare attenzione a URL abbreviati (se si utilizza un browser mobile, attraverso cui non è possibile fare un controllo, è meglio evitare di aprirli); installare applicazioni di sicurezza anche sui propri dispositivi mobili: a differenza dei browser desktop, infatti, che chiedono all’utente se vuole entrare in siti non sicuri, i browser mobili di solito espongono l’utente a rischi maggiori”.
