Quishing: attenzione ai QRcode truffaldini

Massimiliano Dona
28 Gennaio 2025
Condividi su

E voi lo sapevate cos’è il Quishing?

Quishing: la nuova minaccia del phishing tramite codici QR

Oggi parliamo di quishing, una variante del phishing che utilizza i codici QR per truffare i consumatori. La parola stessa nasce dalla fusione di “QR” e “phishing”. Mentre nel phishing tradizionale l’inganno avviene attraverso email o SMS contenenti link falsi, nel quishing è il codice QR a reindirizzare la vittima a un sito fraudolento. Questo sito spesso replica perfettamente quello di una banca o di un istituto finanziario. E dove la vittima, inserisce i propri dati, credendo di essere su un sito legittimo

Come il Quishing sta prendendo piede con l’aumento dell’uso dei QR code

Si tratta di una minaccia relativamente recente, la cui diffusione sta accelerando anche perché dalla pandemia in poi l’uso dei codici QR è diventato molto comune, non solo nei ristoranti, ma anche per pagamenti online e accessi rapidi ai servizi bancari.
E’ di qualche tempo fa la notizia di una pensionata nel Regno Unito, che ha perso £13.000 dopo essere stata ingannata da un falso codice QR in una stazione ferroviaria a Thornaby, Teeside. La donna ha scansionato un QR code che sembrava essere quello per pagare il parcheggio della stazione, ma in realtà reindirizzava a un sito fraudolento. Una volta inseriti i suoi dati bancari, i truffatori sono riusciti a ottenere un prestito a suo nome e a cambiare le sue credenziali, continuando a sottrarre denaro dal suo conto. Sebbene la banca sia riuscita a rimborsare le somme rubate e ad annullare il prestito, la vittima è rimasta scossa dall’episodio.

Rischi del Quishing: come proteggersi dalle truffe con QR code

Questo caso ha portato l’operatore ferroviario TransPennine Express a rimuovere tutti i QR code dai suoi parcheggi. Questo in risposta a una crescente ondata di truffe simili nel Regno Unito.
In casi come questo, è bene assicurarsi che il codice non sia stato manomesso, ad esempio con un adesivo posizionato sopra il codice originale ed evitare, se possibile, di effettuare dei pagamenti seguendo le indicazioni nascoste in un codice QR.

Quishing via email: attenzione ai QR code truffaldini

Ma l’inganno può avvenire anche online: pensate di ricevere un’email che sembra provenire dalla banca, in cui il logo, il linguaggio, tutto, appare autentico. Il messaggio informa che c’è un problema con il conto corrente o una transazione in sospeso e invita a risolvere la questione rapidamente scansionando un codice QR per “confermare l’identità”.
Scansionando il codice, si arriva a un sito web apparentemente identico a quello della banca, ma in realtà è gestito da truffatori. Una volta inserite le credenziali di accesso o i dati della carta di pagamento, i criminali ottengono il controllo del conto e possono effettuare operazioni non autorizzate dal legittimo titolare.

Come difendersi dal Quishing: consigli pratici

Per questo motivo è fondamentale verificare sempre l’origine del messaggio. Attenzione anche se sembrano email provenienti dalla banca o indirizzi conosciuti, spesso le email truffaldine celano refusi o anomalie, ma soprattutto è bene tenere a mente che le banche non chiedono ai clienti di risolvere problemi urgenti tramite codici QR inviati via email o SMS. Se si hanno dubbi è sempre meglio contattare direttamente la banca tramite i canali ufficiali.
Inoltre, è consigliabile controllare regolarmente l’estratto conto per assicurarsi che non ci siano transazioni sospette. Così come aggiornare gli strumenti di sicurezza e, quando possibile, utilizzare l’autenticazione a due fattori che si basa su due o più elementi classificati nelle categorie della conoscenza, del possesso e dell’inerenza, e che rappresenta uno strumento fondamentale per rendere più difficile per i truffatori l’accesso al conto.

E voi lo sapevate?

Per saperne di più ascolta il podcast Quishing: attenzione ai QRcode truffaldini

Autore: Massimiliano Dona
Data: 29 gennaio 2025

Condividi su: