Dopo il phishing, la nuova generazione di truffe è quella con il QR Code

Fidarsi è bene, controllare è meglio. L’ultimo decennio digitale ha fatto alzare le antenne sui tentativi (spesso riusciti) di raggiro online. La pratica più comune – senza andare a scomodare gli attacchi ransomware che hanno altre dinamiche – è quella del phishing: una mail, che apparentemente arriva da canali ufficiali (di banche, società, aziende e a volta anche di istituzioni), che ha come unico obiettivo quello di invitare il destinatario a cliccare su un link malevolo chiedendo di inserire i propri dati (spesso bancari o di pagamento). Ma ora che si è deliberato l’ampio utilizzo di una nuova “tecnologia”, ecco comparire anche i primi esempi di truffe attraverso i QR Code.

LEGGI ANCHE > Cosa sta succedendo ai dati SIAE al centro di una fuga a ottobre

In Italia abbiamo imparato a conoscere questo codice a barre bi-dimensionale con la pandemia. Prima i ristoranti (o i locali) hanno deciso di proseguire sulla strada del menù digitale proprio attraverso la scansione di questo codice; poi con il Green Pass (in tutte le sue declinazioni) questo strumento è diventato di utilizzo comune ed è entrato a far parte della nostra quotidianità. Insomma, anche il nostro Paese ora sa a menadito dell’esistenza dei QR Code. E, come ogni novità, ecco avanzare le prime frodi.

Il caso dei parchimetri di San Antonio

Se in Italia abbiamo parlato, finora, solamente dei tentativi di falsificare i codici per l’emissione di false certificazioni verdi, il resto del mondo già fa i conti con le nuove frontiere dei raggiri. E dagli Stati Uniti arriva il primo assaggio delle truffe QR Code, dove tantissimi cittadini si sono ritrovati a scansionare quel codice e barre bi-dimensionale per effettuare un piccolo pagamento: quello del parcheggio. Una storia confermata anche dal dipartimenti di Polizia della città texana di San Antonio.

SCAM ALERT: Fraudulent QR code stickers were discovered on City of San Antonio public parking meters. People attempting to pay for parking using those QR codes may have been directed to a fraudulent website and submitted payment to a fraudulent vendor. 1/2 pic.twitter.com/X1hnPmnttx

— San Antonio PD (@SATXPolice) December 20, 2021

Era il 20 dicembre dello scorso anno quando, dopo alcuni controlli, sono stati ritrovati degli sticker con un QR Code sui parchimetri sparsi per la città. Secondo le indicazioni, gli automobilisti potevano scansionare il codice per pagare direttamente (online) il parcheggio. Peccato che fosse tutta una truffa. Quel codice riportava a un link di un sito (non comunale, non nazionale, non governativo) in cui – di fatto – si pagava per la sosta della propria automobile. Ma quel sito non era ufficiale e quei soldi sono stati incassati dai truffatori. E c’è di più. Perché inserendo in dati di pagamento, non si limitavano solamente a “rubare” quei pochi dollari, ma si aveva accesso a tutte le informazioni bancarie relative alla carte di pagamento. Per esempio, chi ha pagato con carta di credito – come da prassi – doveva inserire non solo il numero della propria carta, ma anche il codice di sicurezza (CVV), il proprio nominativo e la scadenza. Insomma, chi richiede il codice OTP per i piccoli pagamenti si è visto, pian piano, svuotare il conto.

Truffe Qr Code, come riconoscerle ed evitarle

Un caso. Tanti casi. Perché le forze dell’ordine texane hanno ritrovato quegli stessi QR Code installati sui parchimetri di altre città (come Austin e Houston). Ma quello dei parcheggi è solo la punta dell’iceberg. Perché il proliferare di questi codici bi-dimensionali non deve essere sottovalutato dai cittadini che potrebbero trovarsi davanti a una truffa, senza rendersene conto. Ovviamente, per citare il caso di San Antonio, occorre sempre – prima di tutto – seguire le indicazioni ufficiali. Poi occorre avere una maturità digitale elevata e non fermarsi alle apparenze. Per evitare di cadere nelle truffe QR Code, infatti, occorre un’analisi molto più approfondita della pagina a cui si viene rimandati scansionando il codice.

A partire dall’URL – perché il QR Code non fa altro che associare quel codice a barre a un link -, perché nella maggior parte dei casi (come nel phishing) già da lì dovrebbero emergere i primi dettagli della frode: perché un sito può assomigliare (almeno nelle vesti) a un sito ufficiale di una banca (o di altri servizi simili), ma l’URL deve necessariamente essere differente a quello ufficiale. Cioè quello con il dominio registrato dall’Istituto di Credito (ovviamente continuiamo a parlare di banche come esempio, ma vale anche per le assicurazione e altri servizi che prevedono e richiedono un pagamento).