"Scansiona qui per il premio". Come funziona la nuova truffa del Qr Code

Arriva con la scansione di un Qr Code la nuova truffa tramite la quale è possibile sottrarre dati sensibili o addirittura denaro alla vittima di turno: ribattezzata "Qrishing", la frode è a tutti gli effetti una variante del più noto "Phishing".

Il metodo è sempre quello di attirare nella rete l'ignaro obiettivo tramite comunicazioni ingannevoli che annunciano addebiti da bloccare o imperdibili offerte, in genere da parte di un istituto di credito o comunque di una società ben nota. Il sito farlocco a cui si viene indirizzati è spesso identico a quello istituzionale, così da persuadere la vittima a inserire tutti i dati richiesti. Con il "Qrishing" cambia solo il sistema di accesso: non più email o messaggi WhatsApp, bensì un Qr Code.

I metodi

Sono tre essenzialmente le modalità di attuazione dell'inganno, stando all'allarme lanciato da Confconsumatori. La prima prevede la sovrapposizione di una guaina trasparente sui codici reali. Una truffa difficile da contrastare, dato che può essere attuata ovunque, specie in luoghi (come banche, poste, negozi o supermercati) nei quali le vittime si sentono abbastanza al riparo da eventuali frodi tanto da abbassare il livello di guardia. La seconda, molto simile alla precedente, prevede l'inserimento di un Qr Code farlocco accanto al logo di un marchio ben noto: anche in questo caso si genera un rapporto di fiducia con la vittima, che non penserebbe mai di poter finire in un tranello. Il terzo è quello di apporre il codice in falsi buoni sconto, strumento perfetto, specie in questo periodo di crisi, per attirare l'attenzione dei consumatori.

L'avviso

Banco Bpm ha creato un'apposita pagina per tutelare i propri clienti. "Spesso le applicazioni che utilizzano i codici Qr non mostrano l'Url della pagina web di destinazione e ciò permette ai cyber-criminali di nascondere i link delle loro truffe", si legge sull'avviso. Gli indirizzi web abbreviati possono essere la prova che si tratti di un sito farlocco. Peraltro, trattandosi di una frode che si diffonde tramite smartphone, questi non sono dotati delle "stesse tecniche di sicurezza dei browser desktop, come ad esempio la possibilità di confrontare una Url con una lista nera, e questo aumenta considerevolmente il livello del rischio".

I consigli

Per difendersi dal raggiro è possibile seguire un breve vademecum fornito proprio dalla banca e da Confconsumatori. In primis il consiglio è quello di osservare bene il formato del Qr Code. Come detto, il Qrishing si realizza spesso incollando sopra un codice originale uno farlocco, per cui anche uno sguardo più attento può aiutare a prevenire il problema. Particolare attenzione è raccomandata per quei codici esposti pubblicamente, tanto online che offline, soprattutto se utilizzandoli essi conducano a portali che richiedono di inserire dati sensibili. Occhio anche alle Url abbreviate: prima di aprirle è bene espanderle così da verificarne l'autenticità. Se ciò non dovesse risultare possibile, meglio non proseguire oltre.

Ultimo consiglio, ma non per importanza, è quello di dotarsi di applicazioni di sicurezza: come accennato, infatti i browser degli smartphone sono meno efficaci di quelli utilizzati su pc fissi o portatili.