Pensionati e lavoratori ben sanno che retribuzioni e prestazioni previdenziali contribuiscono ad arricchire i conti correnti e ad accrescere i risparmi familiari. Specie in tempi di carovita, poter contare su entrate sicure e mensili rappresenta il salvagente per spese impreviste e urgenti. Ma i rischi di perdere soldi per colpa dell’ennesimo scaltro truffatore sono sempre dietro l’angolo, come dimostra una nuova tipologia di frode online, il quishing.
A finire nel bersaglio dei delinquenti informatici sono gli apparentemente ‘innocui’ – e oggi diffusissimi – QR code o codici QR (abbreviazione di “Quick Response code”) ossia quei codici a barre bidimensionali che possono essere letti, scansionati e interpretati da apparecchi come smartphone e scanner. Le banche stanno correndo ai ripari e infatti, negli ultimi tempi, un grande gruppo come Unicredit sta inviando messaggi in app e sull’home banking, che informano sui rischi di questa nuova truffa informatica.
Vediamo allora come funziona la truffa del quishing e cerchiamo di capire come proteggere pensioni e stipendi dalle pratiche illecite dei cybercriminali sui conti correnti.
Indice
Cos’è il quishing
Parlare di questa nuova modalità di frode digitale è quanto mai opportuno, se pensiamo che tali attacchi stanno diventando sempre più frequenti, contando sulla diffusione progressiva dell’utilizzo dei codici QR in una pluralità di situazioni, ad es. per il download di app e contenuti digitali, l’accesso a servizi, le promozioni e gli sconti, i link a siti web o i pagamenti e le transazioni digitali.
Il termine “quishing” deriva dalla fusione di “QR code” e “phishing“, altro diffusissimo metodo fraudolento sfruttato per ottenere illecitamente dati riservati via mail. Ma perché sono a rischio stipendi e pensioni nel conto corrente?
Il motivo è semplice: il quishing – da non confondere con lo smishing – consiste in una subdola tecnica di attacco informatico con la quale i truffatori si servono dei codici QR per ingannare gli utenti e rubare informazioni, dati sensibili e credenziali bancarie.
Come funziona il quishing
La maggior parte degli attacchi quishing riguarda i criminali informatici che inviano codici QR tramite messaggi di posta elettronica. Non di rado tali mail si mascherano ad es. con avvisi di vincita di un premio in denaro o con richieste urgenti di verifica dell’account, avvisando i destinatari di un imminente blocco del c/c se non agiscono nel più breve tempo – usando il QR code trappola. Ma le esche si possono trovare anche sui social media, sui volantini o persino su oggetti fisici nel mondo reale come le colonnine di ricarica dei veicoli.
In sintesi con il quishing:
- il criminale informatico inserisce un codice QR che, una volta scansionato con lo smartphone, condurrà l’ignaro utente a un sito web falso o malevolo;
- qui il lavoratore o il pensionato sono solitamente sollecitati a inserire credenziali di accesso, informazioni personali e, per quel che qui interessa, dettagli e informazioni bancarie, poi intercettate dai truffatori.
I rischi per stipendi e pensioni dei correntisti
Le vittime tendono a fidarsi ciecamente dei QR code, hanno fretta, vogliono pagare o sbrigare rapidamente qualcosa e non hanno tempo di verificare la credibilità di quanto gli viene richiesto. Ma, come dicevamo in apertura, il quishing non va affatto sottovalutato, perché mette a serio rischio i risparmi sui conti correnti derivanti da stipendi e pensioni.
Come detto, quando la persona ingannata scansiona un QR code fraudolento o malevolo è spesso indirizzata a una pagina web che assomiglia a quella di una banca o a un servizio ufficiale. Qui viene spinta a immettere le proprie credenziali o altre informazioni personali.
Ecco perché Unicredit ha recentemente informato i suoi correntisti di comunicazioni via mail, che in apparenza provengono da questa banca. Ma così non è. Esse includono QR code in grado di scaricare malware o reindirizzare a false pagine di internet banking del Gruppo. Insomma, una trappola mirata a svuotare i fondi.
Il punto è proprio questo: se i truffatori si appropriano delle credenziali bancarie e dei dati finanziari, potranno usarle come chiave di accesso al conto corrente della vittima, compiendo operazioni non autorizzate dal titolare e trasferendo fondi. Il rischio concreto è quello di un prosciugamento dei risparmi accumulati con fatica nel corso del tempo, grazie a stipendi e pensioni. Ma ricordiamo inoltre che gli avvisi delle banche mirano anche a evitare possibili guai con la giustizia.
8 consigli per evitare truffe informatiche
Cosa fare quindi per difendersi contro questi attacchi? Ecco di seguito una sintetica lista di suggerimenti:
- verificare il mittente e il contenuto del messaggio, controllando se ad es. ci sono errori grammaticali;
- non dare mai informazioni riservate come codici di adesione, Pin o numeri di carta a soggetti terzi e di cui non si ha assoluta certezza in merito all’affidabilità;
- tenersi alla larga da link sospetti e non scansionare QR code allegati attraverso e-mail o posta di dubbia provenienza;
- controllare se l’indirizzo appare sospetto o diverso dall’url ufficiale della banca o dell’ente;
- segnalare le mail al servizio clienti o alla propria filiale bancaria, in modo da verificare la fonte della comunicazione;
- usare i soli canali ufficiali della banca per ogni tipo di operazione, come ad es. l’app ufficiale dell’istituto di credito o il sito della banca, evitando cioè di usare QR code per accedere a un qualsiasi servizio
Ricordiamo inoltre che nessuna banca chiederà al cliente di scaricare la sua app di home banking con un codice QR inviato via email o tramite posta ordinaria.
Concludendo, l’utilizzo di un QR code malevolo per carpire informazioni personali e accedere ai conti bancari o a dati sensibili della vittima può costituire un reato informatico, e chi ne è responsabile può essere perseguito penalmente per frode informatica, con pena sia detentiva che pecuniaria.