La truffa del QR code è la nuova frontiera del phishing

La sempre maggiore quantità di tempo trascorso connessi da dispositivi mobili e la sempre maggiore varietà di attività svolte tramite essi sembrano essere strettamente interconnesse con l’aumento di truffe e raggiri che sfruttano tali dispositivi come veicoli: nel secondo trimestre 2022 le frodi informatiche che hanno avuto come obiettivo un dispositivo mobile sarebbero state il 70%¹ in più rispetto solo al primo trimestre dello stesso anno. Tra i rischi per la cybersecurity più comuni per gli utenti mobile c’è, secondo diversi addetti ai lavori, come la Confconsumatori² in Italia, il QRishing: una particolare forma di phishing che sfrutta i codici QR.

Cos’è e come funziona il QRishing

Lo scopo ultimo del QRishing è, esattamente come quello del phishing, sottrarre alle vittime credenziali o dati sensibili con cui accedere a conti bancari o wallet digitali, da rivendere a malintenzionati o, più raramente, chiedere un riscatto.

Mentre il phishing tradizionale sfrutta link malevoli diffusi via mail o via SMS, il QRishing prevede che la vittima inquadri un apposito QR code.

I moduli bianchi e neri dei codici QR del resto non sono altro che informazioni codificate capaci, una volta inquadrati con la fotocamera dello smartphone, di rimandare l’utente a una specifica pagina web contenente e informazioni più disparate: dal menu del ristorante in cui si è seduti, a una playlist Spotify suggerita da una nuova marca di muesli da ascoltare durante la colazione, a capitoli extra o in continuo aggiornamento di un saggio in versione cartacea, all’indirizzo PayPal da poter usare se si vogliono pagare in digitale i propri acquisti fisici.

Sono solo alcuni dei numerosi esempi che si potrebbero fare su come sono utilizzati oggi i codici QR: riscoperti durante la pandemia come strumento touchless e più sicuro dal punto di vista della prevenzione dei contagi, stanno vivendo un periodo di rinnovata popolarità tanto da poterli trovare ormai letteralmente ovunque.

Le truffe basate sui QR sfruttano questa onnipresenza per le più basiliari operazioni di ingegneria sociale. Le persone sono curiose, infatti, di scoprire cosa si nasconde dietro a informazioni criptate come quelle di un codice QR, tanto più se la promessa è di un risparmio economico, come avviene quando esso è utilizzato per rendere possibile l’accesso a sconti e promozioni.

Più in generale, il QR code offre vantaggii n termini di tempo ed energie, dal momento che permettono di accedere a pagine e risorse Web in pochi secondi e con un gesto semplice come puntare su qualcosa la fotocamera dello smartphone.

L’alto tasso di riuscita del QRishing è legato, in altre parole, all’alta probabilità con cui se c’è un codice QR le persone lo inquadreranno per scoprire dove e a che cosa porta.

Per aumentare le probabilità di riuscire nell’mpresa, non è raro che i malintenzionati associno al QR sospetto loghi familiari di brand che le persone conoscono e di cui si fidano. A volte, arrivano addirittura a sovrapporre QR code appositamente modificati a QR originali, usando delle pellicole adesive.

In questo modo, mentre sono convinte di aprire il menu del ristorante dove vogliono cenare o il link per accedere alle offerte digitali del proprio operatore telefonico, le vittime di QRishing si ritrovano su siti malevoli, che i truffatori del QR hanno progettato per rubare credenziali o altre informazioni sensibili.

Non di rado i siti su cui i malcapitati atterrano dopo aver inquadrato un QR falso hanno tutte le sembianze di siti di home banking o di servizi finanziari online: esattamente come il phishing più tradizionale, anche il QRishing è capace di trasformarsi facilmente in una classica truffa in grado di convince le vittime a effettuare pagamenti non dovuti.

Truffa del QR: un esempio dal mercato finanziario tedesco

Uno degli attacchi di QRishing più grossi³ perpetrati fin qui, racconta Cybersecurity 360, ha avuto a oggetto due importanti istituti finanziari tedeschi.

Agli utilizzatori dei servizi di eBanking di Sparkasse e Volksbanken Raiffeisenbanken è stata inviata, nel dicembre 2021, una comunicazione riguardante l’imminente modifica nella privacy policy delle compagnie e un QR che avrebbe dovuto permettere di cambiare le impostazioni di sicurezza dei propri account. In realtà, lo stesso reindirizzava a un sito di phishing che i cybertruffatori avevano strutturato anche visivamente perché fosse in tutto e per tutto simile a quelli dei due istituti bancari.

Una volta che gli utenti avessero raggiunto la pagina tramite QR code ed effettuato il login, sarebbe stato oltremodo facile avere accesso ai loro conti.

Non c’erano, continua la testata, né nelle comunicazioni rivolte agli utenti e né nei siti in questione errori grammaticali o di sintassi o elementi grafici evidentemente stonati che potessero far pensare a una truffa.

Come difendersi dal QRishing? Conta soprattutto il fattore umano

Ciò che rende sempre più difficile tutelarsi dai tentativi di phishing tradizionale o dalle più moderne forme di QRishing è proprio che si tratta di tentativi sempre più elaborati e precisi, studiati per colpire l’utente quando è generalmente distratto.

Non sono mancati negli anni, infatti, studi e ricerche che hanno confermato come l’utente Internet medio non sia poi così attento alla propria sicurezza digitale né quando usa i social network né quando interagisce, per esempio, con assistenti vocali e dispositivi connessi.

Eppure i consigli per difendersi dal QRishing rimangono quelli utili a migliorare più in generale la propria sicurezza digitale.

Fare attenzione alle fonti da cui provengono informazioni, messaggi e comunicazioni personali, allegati o i codici QR è un valido punto di partenza: è sempre meglio fidarsi solo di fonti ufficiali che, nel caso dei QRC, vuol dire assicurarsi che il codice sia stato generato direttamente dal soggetto che offre il prodotto o il servizio a cui si è interessati, eventualmente anche tramite app terze, ma meglio se specializzate in un determinato campo (quello dei menu digitali, degli ePayment, eccetera).

Errori grammaticali o di sintassi, anche apparentemente banali, nelle informazioni che accompagnano il QR dovrebbero essere considerati come dei campanelli d’allarme.

Lo stesso vale per la scarsa definizione del codice QR o un formato di stampa non consueto, quale soprattutto quello adesivo: spesso per il QRishing vengono sfruttati infatti, come in parte già si accennava, codici QR falsi applicati sopra a quelli originali riportati su brochure, volantini e altri supporti fisici. Particolare attenzione andrebbe prestata anche ai link abbreviati: gli appositi servizi permettono, infatti, di rinominare gli shorten url a piacimento e i malintenzionati potrebbero sfruttare questa opportunità a proprio favore per far apparire più affidabili i link ai siti malevoli.

Ciò risulta tanto più pericoloso quanto più è difficile che i browser mobile individuino minacce e risorse non sicure e le segnalino agli utenti prima dell’apertura: anche per questa ragione sarebbe meglio scaricare sui propri dispositivi mobili delle apposite app per la sicurezza e tenere sempre aggiornate quelle già presenti.

In altre parole, come spesso accade quando si tratta di sicurezza digitale, il vero fattore critico è la componente umana, e cioè, da un lato, la proattività e la facilità con cui si riconoscono e si riescono a evitare a monte le minacce e, dall’altro, una serie di buone pratiche di ecologia digitale da rispettare mentre si è impegnati nelle proprie attività online.