• Quishing –
    il pericolo invisibile dietro i codici QR

I codici QR sono diventati parte della vita quotidiana – nei ristoranti, sui poster o per gli accessi. I cybercriminali sfruttano l'ubiquità dei codici QR per i cosiddetti attacchi di quishing. Si tratta di una forma specifica di phishing in cui codici QR fraudolenti portano gli utenti a siti web falsi o installano malware sui loro dispositivi.

Mission Security

Punti chiave:

A person scans a QR code on a paper document using their smartphone

Il quishing è una forma pericolosa di phishing in cui i criminali utilizzano codici QR malevoli per diffondere malware o reindirizzare a siti web falsi.

A person holds their smartphone up to a display on a machine

Il link incorporato in un codice QR non è immediatamente visibile – molti utenti si fidano dell'anteprima mostrata dopo la scansione e lo aprono senza verificare completamente il link.

A person scans a QR code on a table at a restaurant

Controllando attentamente l'URL completo, evitando codici sospetti e mantenendo il software aggiornato, puoi ridurre significativamente il rischio di essere vittima di attacchi di quishing riusciti.

Come funziona il quishing?

Il quishing si basa sul fatto che il contenuto di un codice QR – solitamente un indirizzo Internet – non è direttamente visibile. I criminali posizionano tali codici QR digitalmente (ad esempio, nelle e-mail) o fisicamente su adesivi, poster e oggetti quotidiani. La scansione di questi codici senza cautela può portare a siti web falsi o al download di malware senza che l'utente se ne accorga.

Perché il quishing è così pericoloso?

Il quishing mira alle abitudini umane e alle vulnerabilità tecniche. Ecco perché questa truffa è particolarmente insidiosa:

icon

Fiducia presunta durante la scansione:

I codici QR vengono spesso scansionati senza mettere in discussione la fonte o la destinazione – un'abitudine rischiosa.

icon

Bypass dei filtri di sicurezza:

Mentre i link di phishing tradizionali nelle e-mail vengono spesso intercettati dai filtri antispam, i codici QR incorporati nelle e-mail vengono solitamente interpretati come immagini innocue.

icon

Minaccia invisibile:

Il codice QR contiene un indirizzo Internet che non è visibile all'occhio umano. Se aperto automaticamente o senza un'adeguata ispezione, può portare a un'infezione immediata da malware.

icon

Apertura automatica dei link:

Alcune app per fotocamere o scanner QR aprono automaticamente i link incorporati, facilitando l'installazione di malware inosservato.

icon

Uso diffuso:

I codici QR malevoli non compaiono solo in e-mail e lettere fraudolente, ma anche su parchimetri, stazioni di ricarica, imballaggi, volantini e biglietti della lotteria falsi.

Come identificare i codici QR fraudolenti

Molti attacchi di quishing possono essere rilevati precocemente con attenzione e cautela. Fai attenzione a:

  • Posizionamento prominente o insolito: I criminali posizionano i codici QR dove attirano l'attenzione, come su codici legittimi nelle stazioni di ricarica o su falsi biglietti del parcheggio. Cerca segni di manomissione come segni di adesivo.
  • URL abbreviati o oscurati: I moderni scanner spesso mostrano solo una versione abbreviata del link. Controlla se c'è un'opzione per visualizzare l'indirizzo Internet completo e verificare la destinazione.
  • Richieste di inserimento dati: Se la scansione di un codice QR porta a una richiesta di accesso o informazioni di pagamento, sii in allerta. I fornitori legittimi non chiedono mai tali dati senza una previa autenticazione.

Misure protettive contro il quishing

Proteggersi dal quishing non richiede passaggi complessi, solo consapevolezza e responsabilità digitale:

  • Scansiona solo codici QR affidabili: Scansiona solo codici provenienti da fonti chiaramente affidabili, come app ufficiali, materiali stampati di marchi noti o siti web aziendali.
  • Utilizza app di scansione sicure: Utilizza l'app fotocamera nativa del tuo dispositivo e familiarizza con le sue funzioni di scansione QR. Le app di terze parti gratuite potrebbero avere difetti di sicurezza.
  • Non condividere mai dati sensibili: Il codice QR non dovrebbe mai essere il punto di accesso per condividere credenziali di accesso, dati bancari o informazioni personali. Utilizza invece siti web o app ufficiali o contatta il mittente tramite un indirizzo o numero di telefono conosciuti.
  • Mantieni aggiornato il sistema operativo del tuo smartphone: Gli aggiornamenti regolari del sistema operativo risolvono le vulnerabilità di sicurezza note e offrono una migliore protezione contro nuovi metodi di attacco come il quishing.

Cosa fare se sospetti un attacco

Agisci rapidamente se pensi di essere stato reindirizzato a un sito falso o se è stato installato un malware:

  • Esegui una scansione antivirus: Utilizza un software di sicurezza aggiornato per controllare le minacce sul tuo dispositivo.
  • Cambia le password: Aggiorna immediatamente le tue credenziali se sospetti che siano state compromesse – soprattutto se inserite su un sito sospetto.
  • Segnala alle autorità: Notifica alla polizia o a un'agenzia di protezione dei consumatori i codici QR o i siti web sospetti per aiutare a proteggere gli altri.

Conclusione – prevenire il quishing

Il quishing è una forma sofisticata di phishing che utilizza codici QR malevoli per reindirizzare gli utenti a siti web falsi o installare malware. Questi attacchi sono particolarmente pericolosi perché sono facili da eseguire e molte persone si fidano dei codici QR. Ma con vigilanza, alcune conoscenze di base e la volontà di mettere in discussione i prompt sospetti, puoi proteggerti efficacemente.

Domande frequenti sul quishing

Show content of Come creano i criminali i codici QR falsi?

I cybercriminali solitamente generano autonomamente codici QR utilizzando strumenti online gratuiti. Li posizionano in e-mail, su adesivi, poster e siti web falsi – spesso mascherati da offerte o richieste legittime, persino da autorità.

Show content of Come posso riconoscere un codice QR malevolo?

Controlla se un codice QR legittimo è stato coperto da un altro, specialmente nelle stazioni di ricarica o nei parchimetri. Sii cauto con i biglietti di parcheggio o le lettere di aziende note che includono codici QR – potrebbero essere truffe. Se il link è vago o insolitamente corto e richiede dati sensibili, non scansionarlo.

Show content of Perché il quishing è particolarmente pericoloso?

Perché il link in un codice QR non è visibile prima della scansione. Anche cliccare sull'anteprima può attivare un attacco malware senza che tu te ne accorga. Le app scanner che aprono automaticamente i link sono particolarmente rischiose.

Continua a esplorare argomenti correlati come…

Close-up of an inbox with spam and phishing emails

Phishing Phishing

Two people shake hands while one person crosses their fingers behind their back

Social Engineering Social Engineering

Woman with a shocked expression on her face clutches her heart with her hand while holding a phone to her ear.

Vishing Vishing