Che cos'è il quishing, la nuova truffa svuota conti
I cybercriminali cercano sempre nuovi metodi per mettere a segno le truffe: l'ultimo, molto raffinato, è il cosiddetto "quishing"
Dopo il phishing, dopo il vishing e dopo lo smishing adesso è tempo di imparare cos’è il “quishing” e di stare molto attenti a non cascare in questo nuovo tipo di truffa, parecchio raffinata e pericolosa. Come tutte le truffe, anche nel caso del quishing i criminali puntano principalmente a due obiettivi: i nostri dati personali e il nostro conto in banca.
Quishing, che vuol dire
Quishing è un nuovo termine, nato dall’unione di “phishing” e “QR Code“. In pratica, quindi, il quishing è un tipo di phishing basato sui codici QR. Il phishing, lo ricordiamo, è la classica truffa online in cui il truffatore prova a far “abboccare” la vittima imitando un marchio, un Ente pubblico, le forze di polizia o dei semplici soggetti privati.
Lo scopo del phishing è sempre quello di indirizzare l’utente verso un sito Web pericoloso, dal quale scarica un virus informatico o nel quale inserisce i propri dati personali o, peggio ancora, bancari.
Il quishing è una forma molto pericolosa di phishing perché è difficile da scoprire, è veloce ed è efficace.
Quishing in ascesa: attenti ai QR Code
Nei prossimi mesi sentirete parlare sempre più spesso di quishing, perché in molti stanno lanciando allarmi specifici a seguito di sempre più segnalazioni di quishing tentati o riusciti.
Appena dieci giorni fa, ad esempio, la nota azienda di cybersicurezza Malwarebytes ha diramato un allarme quishing per avvertire gli utenti. Pochi giorni dopo un allarme simile è arrivato da Better Business Bureau of Metro New York, non profit americana che gestisce la certificazione BBB che attesta l’adesione delle aziende ad un codice di condotta trasparente.
L’ultimo allarme quishing, questa volta in Italia, è stato diramato poche ore fa da MyBank, un metodo di pagamento elettronico basato su un bonifico immediato.
Quando nel giro di poche settimane gli allarmi si ripetono in modo così insistente vuol dire, purtroppo, che siamo ancora la punta dell’iceberg e il peggio deve ancora arrivare.
Come funziona il quishing
Ma, nella pratica, come funziona il quishing? Una campagna di quishing funziona inviando via messaggio, via email o mostrando su un sito (o persino su un cartello fisico) un codice QR pericoloso.
Tutti possono creare un codice QR, ci sono siti e software appositi per farlo, e dentro un QR si possono inserire informazioni di vario tipo: da un link a vero e proprio codice pericoloso da far eseguire allo smartphone.
La forza del quishing sta nel fatto che per capire cosa c’è dietro un QR Code lo si deve prima scannerizzare con l’app. Lo stesso codice, poi, trasmette un senso di professionalità, ufficialità e, di conseguenza, aumenta la fiducia della potenziale vittima.
Una volta letto il codice QR con lo smartphone, quindi, la vittima si trova di fronte a un sito Web fraudolento o esegue del codice pericoloso, ad esempio quello che costringe il telefono a scaricare un malware.
Da questo momento in poi i meccanismi del quishing sono gli stessi del phishing: se l’utente si fida del sito che ha davanti, allora fa tutto ciò che il sito gli richiede. Quindi inserisce i propri dati personali in un form, autorizza un pagamento con lo smartphone, scarica un virus senza neanche accorgersene.
Nella migliore delle ipotesi la vittima regala i propri dati sensibili ai criminali, nella peggiore gli consegna le chiavi del proprio conto in banca.
Come difendersi dal quishing
Dal Covid in poi i codici QR sono sempre più diffusi: molti ristoranti hanno ancora i menu online e mostrano proprio il QR Code del link in bella vista sul tavolo. Come difendersi, quindi, dal quishing?
Prudenza, come sempre, è la parola d’ordine: farsi sempre le doverose domande sulla pagina, il messaggio, l’email tramite cui abbiamo ricevuto il codice da scansionare; una volta scansionato il codice, cliccare sul link solo e soltanto se siamo sicuri che la fonte è legittima e “pulita“.
Bisogna poi cercare sempre ogni possibile segnale di falsificazione dei siti, dei loghi e di ogni altro riferimento ad aziende ed Enti pubblici visibili nelle pagine di destinazione. Mai inserire, infine, i propri dati personali all’interno di siti Web dei quali non siamo sicuri al 100%.