Come i truffatori usano i codici QR per rubare i tuoi dati
Non tutti i codici QR sono innocui. Ecco a cosa prestare attenzione per evitare di cadere in una truffa di “quishing”.
5' di lettura
I codici QR sono passati rapidamente da novità tecnologica a comodità quotidiana, facendo la loro comparsa su tutto, dalle banconote ai biglietti da visita. Ma una volta che abbiamo acquisito fiducia nei codici QR, i criminali informatici hanno trovato il modo di sfruttare questa fiducia. Ecco il quishing: una forma subdola di phishing che utilizza codici QR dall’aspetto innocente per insinuarsi nei tuo dati personali.
Come il “quishing” sta prendendo piede
I codici QR, abbreviazione di “quick response” (risposta rapida), sono stati originariamente inventati da una casa automobilistica giapponese nel 1994 per semplificare la produzione. Oggi questi quadratini contengono dati di ogni tipo, come URL, dettagli sui prodotti o informazioni di contatto. La loro attrattiva risiede nella semplicità. Invece di digitare un lungo indirizzo web, scansioni il codice e il tuo smartphone ti porta immediatamente al sito o al contenuto giusto. Questa comodità si è affermata durante la pandemia, quando le aziende avevano bisogno di un modo contactless per continuare a lavorare regolarmente e tutelare la sicurezza dei clienti.Ora, dalle confezioni dei prodotti alle pareti dei bagni, i codici QR si sono integrati perfettamente nella nostra vita quotidiana. Ti serve il manuale d’uso del tuo nuovo dispositivo? Ti basta scansionare il codice. Vuoi pagare il conto? C’è un codice QR anche per questo. Abbiamo sviluppato una fiducia cieca nei codici QR. Ma questa fiducia è proprio ciò su cui i criminali informatici fanno affidamento. Prendiamo il famoso spot di Coinbase per il Super Bowl del 2022: un codice QR che ha spinto milioni di spettatori a scansionare e scaricare l’app. È stata una mossa intelligente ed efficace, ma ha anche suscitato serie preoccupazioni tra gli esperti di sicurezza informatica. I rischi potenziali sono diventati ancora più evidenti quando i truffatori hanno iniziato a usare i codici QR nelle frodi legate alle criptovalute, ingannando le vittime e costringendole a consegnare i loro fondi.
Come funziona un attacco di quishing
In un attacco di quishing, i truffatori generano un codice QR che conduce gli utenti a un sito web fraudolento. Questi codici QR possono essere abilmente inseriti nelle e-mail di phishing, sparsi sui social media, stampati su volantini o persino attaccati su oggetti fisici nel mondo reale. L’esca? Una piccola magia di social engineering. Immagina di ricevere un’e-mail in cui ti viene annunciato che hai vinto un premio in denaro o devi recuperare un messaggio vocale importante — basta scansionare il codice QR per ottenerlo. Ma una volta effettuata la scansione, vieni indirizzato a un sito fraudolento che chiede informazioni sensibili come nome, e-mail, data di nascita o dettagli finanziari. Questi siti fake sono progettati per sembrare autentici, ma il loro unico scopo è quello di acquisire i tuoi dati per rubarti l’identità, commettere una frode finanziaria ai tuoi danni, o peggio. La FTC ha segnalato casi in cui i truffatori appongono i propri codici QR sui parchimetri, o in cui dei messaggi di testo spingono a scansionare un codice QR per risolvere problemi di account o rispondere ad “attività sospette”. Il filo conduttore? Un senso di urgenza, che spinge le vittime ad agire prima di riflettere.
La sicurezza in N26
In N26, la sicurezza è la nostra priorità. Scopri un'esperienza di mobile banking al 100%.
La risposta sta nel nostro mondo mobile-first. La maggior parte dei sistemi desktop è dotata di livelli di protezione contro il phishing, che rendono più difficile il successo dei malintenzionati. Ma gli smartphone? I dispositivi mobili sono spesso meno protetti, e gli attacchi basati sui codici QR possono facilmente eludere le protezioni tradizionali, come i gateway sicuri per le e-mail. In effetti, molti sistemi di sicurezza vedono i codici QR come semplici immagini innocenti, ignorando completamente la minaccia che vi si cela.Visto che le persone si sono abituate a scansionare i codici QR senza pensarci troppo, potrebbero non rendersi conto che il codice appena scansionato li sta inviando a un sito pericoloso o sta installando malware sul loro dispositivo. Il risultato? I criminali informatici possono rubare le tue informazioni personali, le credenziali bancarie o, peggio ancora, tutto questo, nascondendosi dietro l’immagine apparentemente innocente di un codice QR.Il quishing, poi, passa da un dispositivo all’altro, il che lo rende più difficile da bloccare da parte del tuo software di posta elettronica o dei servizi di sicurezza della tua azienda. Ad esempio, ricevi un’e-mail sul computer di lavoro con un codice QR, ma lo scansioni con il telefono. Se il telefono è un dispositivo personale, è probabile che non sia coperto dalle politiche di sicurezza dell’azienda, e questo offre agli aggressori un facile accesso, se non presti attenzione. D’altra parte, se un codice QR dannoso arriva nella tua casella di posta personale ma lo scansioni con un dispositivo aziendale, il malware può intrufolarsi tra le difese della tua azienda. Il “passaggio tra dispositivi” crea angoli morti che rendono difficile per le aziende individuare e bloccare questi attacchi: sei tu che devi mantenere alta la guardia per evitare di incappare in truffe banali ma potenzialmente dannose.
Come tutelarsi dal quishing
Il modo più semplice per proteggersi dal quishing è evitare di scansionare codici QR casuali, soprattutto se provenienti da fonti sconosciute. Se qualcosa non quadra, come ad esempio un codice QR in un posto insolito, prenditi un momento per ispezionare l’URL alla ricerca di ortografie strane o lettere scambiate. Se non sei sicuro, salta la scansione e verifica le informazioni chiamando un numero affidabile o visitando il sito web ufficiale dell’azienda. La maggior parte delle aziende affidabili non utilizza i codici QR per la verifica di account. Per aggiungere ulteriori livelli di protezione, attiva l’autenticazione a più fattori (MFA) ove disponibile, e sii prudente con le notifiche di autenticazione, approvandole solo se sei stato tu a iniziare il login. Infine, tieni aggiornato il tuo smartphone e utilizza password forti e univoche con MFA per stare un passo avanti ai truffatori.
Il tuo denaro con N26
Noi di N26 mettiamo sempre la tua sicurezza al primissimo posto. Le funzioni di sicurezza come 3D Secure, l’autenticazione a più fattori e l’autenticazione biometrica sono incluse nel tuo conto N26, per tenere al sicuro te e il tuo denaro. In più, aggiorniamo regolarmente il nostro blog con articoli sulle ultime tattiche di frode online e su come proteggersi. Impara come proteggere la tua identità digitale e creare una password forte, come funziona il mobile banking sicuro, e molto altro.
Messaggio pubblicitario con finalità promozionale. Per le condizioni contrattuali ed economiche fare riferimento alla documentazione di trasparenza nella sezione Documenti Legali.
L'intelligenza artificiale sta trasformando la banca, migliorando frodi, valutazione del rischio e servizio clienti. Xavier Lavayssière esplora impatti e sfide dell'AI nel settore.
L'intelligenza artificiale sta trasformando la banca, migliorando frodi, valutazione del rischio e servizio clienti. Xavier Lavayssière esplora impatti e sfide dell'AI nel settore.
