Forse pensavi di scansionare semplicemente un menù al ristorante, pagare un parcheggio o controllare un avviso di consegna. Un gesto rapido, familiare, che sembra del tutto innocuo. Ed è proprio questa normalità a rendere sempre più diffuse le truffe tramite codici QR.
I QR code sono ormai ovunque: nei locali, nelle email, nelle pubblicità e nei pagamenti digitali. Nascono per semplificare la vita, sostituendo link e ricerche con una semplice scansione.
Ma i truffatori lo sanno e ne approfittano. Dietro un codice apparentemente legittimo si possono nascondere pagine false, richieste di pagamento ingannevoli o siti creati per rubare dati personali. Questa tecnica si chiama quishing.
Con la diffusione dei QR code, capire come funziona questa truffa è diventato essenziale per proteggersi online. In questo articolo gli esperti di McAfee spiegano cos’è il quishing, come funziona la truffa e quali strategie adottare per difendersi efficacemente.
Cos’è il quishing?
«Il quishing è una forma di phishing che utilizza i codici QR al posto dei collegamenti cliccabili per indurre le persone a visitare siti web dannosi o a fornire dati sensibili.
Il termine, che unisce QR e phishing, riflette un semplice ma pericoloso cambiamento nelle tattiche di truffa: invece di chiederti di fare clic, i truffatori ti chiedono di fare una scansione.
Una volta scansionato, un falso codice QR può portare a:
- Pagine di “accesso” per raccogliere le tue credenziali.
- Richieste di pagamento o fatture fraudolente.
- Download di malware.
- Portali di assistenza clienti falsi
- Trappole di abbonamento.
Poiché i codici QR non mostrano un URL prima della scansione, eliminano uno dei più importanti campanelli di allarme delle truffe su cui si può fare affidamento.
Le truffe tramite codice QR più comuni a cui prestare attenzione
Gli attacchi di quishing sono i più svariati, ma la maggior parte di essi rientra in alcuni schemi prevedibili.
- Codici QR falsi per parcheggi e pagamenti
I truffatori applicano un adesivo con il loro codice QR sopra quello legittimo di un parcometro. Quando ne fa la scansione, la vittima giunge su una pagina di pagamento fasulla che ruba i dati della carta.
Campanello d’allarme: un codice QR che chiede tutti i dati di pagamento invece di reindirizzare a un servizio noto di parcheggio o della città.
- Scambio dei menù al ristorante
I truffatori sostituiscono i codici QR dei menù con altri falsi, che reindirizzano a pagine di phishing o a scaricamenti dannosi.
Campanello d’allarme: una pagina del menù che ti chiede di “registrarti”, di scaricare un’applicazione o di confermare i tuoi dati personali.
- Avvisi di consegna pacchi
Un volantino o un biglietto sulla porta dichiara che hai mancato una consegna e ti chiede di scansionare un codice QR per riprogrammarla.
Campanello d’allarme: dettagli vaghi sulla consegna e pressione per agire in fretta.
- Falsi avvisi di sicurezza dell’account
Un codice QR dichiara che la tua banca, il servizio di streaming o il tuo account di posta elettronica necessitano di una verifica.
Campanello d’allarme: qualsiasi codice QR che richiede un’azione immediata per “motivi di sicurezza”.
- Abbonamenti trappola e offerte false
Alcuni codici QR promettono sconti, rimborsi o premi, mentre in realtà iscrivono gli utenti a spese ricorrenti.
Campanello d’allarme: le scritte in piccolo sono difficili da trovare o mancano del tutto.
Cosa rende il quishing particolarmente insidioso
Le truffe QR hanno successo non per la sbadataggine delle persone, ma perché sfruttano la fiducia e la routine.
A differenza delle tradizionali email di phishing, il quishing:
- Si verifica sia offline sia online.
- Appare spesso in luoghi fisici fidati.
- Sembra più veloce e più “legittimo”.
- Elimina l’ispezione visiva dei collegamenti.
Una volta che la vittima approda a un sito falso, i danni possono accumularsi rapidamente: dal furto delle credenziali al prosciugamento dei conti correnti, fino al furto di identità.
Come riconoscere un codice QR falso prima di scansionarlo
Non è necessario evitare del tutto i codici QR, ma usare cautela.
Verificare il contesto fisico
Il codice QR è incollato, graffiato o sovrapposto a un altro codice? È una tattica comune.
Cercare le incoerenze dei marchi
Errori ortografici, logo generici o colori non corrispondenti sono segnali di allarme.
Vedere in anteprima il collegamento
La maggior parte delle fotocamere dei telefoni mostra l’URL prima di aprirlo. Prenditi un secondo per leggerlo.
Essere scettici nei confronti dell’urgenza
Qualsiasi codice QR che ti spinga ad agire immediatamente va preso con le pinze.
Come proteggersi dalle truffe tramite codice QR
Passo 1: trattare i codici QR come collegamenti
Un codice QR è una scorciatoia per raggiungere un sito web. Applica dunque la stessa cautela che useresti per qualsiasi link.
Passo 2: evitare di inserire dati sensibili
I servizi legittimi raramente chiedono password, dettagli di pagamento o dati personali tramite i codici QR.
Fase 3: utilizzare gli strumenti di sicurezza mobile
Un software di sicurezza contribuisce a rilevare i siti dannosi e a bloccare gli scaricamenti rischiosi prima che facciano danni.
Fase 4: in caso di dubbi, vai direttamente alla fonte
Invece di effettuare la scansione, visita manualmente il sito web ufficiale o l’applicazione di cui ti fidi.
Cosa fare dopo la scansione di un codice QR sospetto
Se pensi di aver interagito con un codice QR dannoso:
- Smetti subito di interagire con il sito.
- Non inserire altri dati.
- Controlla i tuoi conti finanziari alla ricerca di attività insolite.
- Cambia le password se hai inserito le credenziali.
- Esegui una scansione della sicurezza nel tuo dispositivo.
- Segnala il caso all’azienda o alla sede coinvolta.
Un’azione tempestiva può limitare le ricadute a lungo termine.»
