I punti chiave
Consultare un menù al ristorante, ordinare al bar, pagare la sosta al parchimetro: i Qr Code sono entrati stabilmente nella vita di tutti i giorni, simbolo di comodità e rapidità. Ma quella stessa praticità sta diventando un’arma nelle mani dei truffatori. Negli ultimi mesi si moltiplicano infatti in Italia i casi di quishing, una tecnica che sfrutta i codici a matrice per condurre l’utente su siti fraudolenti, con l’obiettivo di sottrarre dati personali e denaro. Ecco cosa sta succedendo e come non cadere nell'inganno.
Le segnalazioni
Le segnalazioni più recenti arrivano da Bari e Bologna. Nel capoluogo pugliese, sui parcometri sono comparsi adesivi applicati con del nastro adesivo, recanti un Qr Code e la scritta “paga online”. Una volta inquadrato, il codice indirizzava lo smartphone verso un portale che imitava quello dell’Amtab, la società di trasporti locali. L’illusione era credibile solo in apparenza: il sito, ospitato su un dominio spagnolo con estensione “.es”, non aveva nulla a che fare con il servizio ufficiale ed era progettato per catturare i dati degli utenti. A Bologna il tentativo si è rivelato ancora più maldestro. Un foglio con il logo in bianco e nero della Tper, come spiega il Corriere, corredato da un testo sgrammaticato con la dicitura "Fermate provviste e diversione", conteneva un Qr Code che rimandava a un sito truffaldino. Un espediente tanto improvvisato quanto pericoloso, che ha spinto l’azienda a mettere in guardia i passeggeri.
Il meccanismo
Il meccanismo, in fondo, non è diverso da quello del phishing tradizionale: cambia soltanto il mezzo. Il Qr Code diventa il gancio che porta a una pagina contraffatta, pronta a ingannare chi non presta attenzione. A volte i truffatori curano i dettagli, ma non sempre riescono a nascondere del tutto le incongruenze. Domini che non coincidono con quelli ufficiali, testi tradotti male o adesivi applicati in modo grossolano restano indizi capaci di smascherare l’inganno.
La prudenza come prima difesa
Le forze dell’ordine e gli esperti di cybersicurezza ricordano che la prudenza resta la prima difesa.
Digitare manualmente l’indirizzo dei siti istituzionali, affidarsi alle applicazioni ufficiali o semplicemente diffidare di ciò che appare improvvisato sono gesti che riducono drasticamente il rischio di cadere nella rete dei malintenzionati. La tecnologia semplifica la vita, ma senza attenzione può trasformarsi in una scorciatoia verso le mani dei truffatori.