Anche se i codici QR sono un modo fantastico per condividere contenuti in tantissimi contesti diversi, in ogni settore e in tutto il mondo, purtroppo ci sono persone che ne fanno un uso improprio.
Con gli account a pagamento come Trueqrcode, solo chi ha creato l’account ha accesso alla propria dashboard, quindi i codici non possono essere usati in modo improprio a meno che qualcuno non abbia accesso al tuo account. Dovresti inoltre scansionare solo i codici QR provenienti da luoghi e marchi di cui ti fidi e assicurarti che nessuno li abbia duplicati.
La tecnologia è una cosa fantastica, ma, come ogni altra cosa, c’è sempre il rischio che venga usata in modo improprio. Ti mostreremo perché usare i codici QR, sia creandoli che scansionandoli, può essere un modo veloce, comodo e sicuro per condividere contenuti, e come evitare di scansionare codici QR dannosi che scaricano malware o codici falsi che ti portano su pagine che cercano di rubarti i dati.
Cos’è il “quishing”?
Un attacco di “quishing” o di phishing tramite codice QR avviene principalmente quando un truffatore posiziona un codice QR su qualsiasi supporto o in un luogo qualsiasi, spacciandosi per qualcun altro o fingendo di rappresentare un’azienda o un servizio inesistente. Il codice QR ti reindirizza a una pagina web falsa o clonata che ti chiede di inserire le tue credenziali o i dati della carta di credito.
Un codice QR dannoso potrebbe inviare malware al tuo cellulare. Il download automatico compromette la sicurezza e permette a chi sta dietro alla truffa di accedere al tuo telefono.
Un altro segno di “quishing” è quando ti contattano direttamente. Se ti mandano un’e-mail o ti danno del materiale stampato per strada, invitandoti a scansionare qualcosa che potrebbe interessarti.
Come funzionano gli attacchi di quishing e come posso proteggermi?
Vedremo alcuni dei modi in cui gli hacker agiscono, ti spiegheremo come proteggerti e ti faremo capire, con alcuni esempi comuni, quando è utile, divertente e pratico per te scansionare i codici QR, così che questa fantastica tecnologia non vada sprecata.
Problema: Gli hacker potrebbero stampare un codice QR in un luogo pubblico, su volantini, cartelloni pubblicitari, manifesti, biglietti da visita, ecc., per promuovere un servizio o un prodotto. Protezione: Non scansionare codici QR provenienti da fonti sconosciute. Ci sono altri modi per cercare il marchio su Internet o di persona; scansiona il codice solo quando sei sicuro che si tratti di un’azienda vera e propria. Quando dovresti scansionare un codice QR: Codici QR sui biglietti da visita sono fantastici per fare networking. Se sei a un vero e proprio evento di networking o a una riunione di vendita e hai incontrato questa persona di persona, nella sua azienda, scansiona il codice e le informazioni di contatto si scaricano automaticamente sul tuo telefono senza errori, il che è fantastico nel caso in cui ci siano errori di battitura o numeri sbagliati.
Problema: Ti viene offerto qualcosa che sembra un normale omaggio, uno sconto, un buono o persino un’offerta per cui saresti disposto a pagare. Come proteggerti: Informati sul marchio che ha stampato il codice. A volte, un malintenzionato potrebbe rubare il nome o il logo di un marchio, quindi fai attenzione. Ma se ti trovi in un negozio vero e proprio o in un posto dove conosci chi ha creato il codice, puoi scansionarlo tranquillamente. Quando dovresti scansionare un codice QR: Ti trovi di persona in una boutique e c’è un codice QR su un volantino con un invito all’azione (CTA) davvero imperdibile.
Problema: Scansioni un codice e il sito a cui vieni reindirizzato è una copia di un sito vero, a volte con un URL che ha un codice paese diverso alla fine. Protezione: Scansiona solo i codici provenienti da fonti affidabili. Quando dovresti scansionare un codice QR: Vai a un concerto e, dopo lo spettacolo, il musicista ti mostra uno striscione con un codice QR che ti porta alla sua pagina Spotify, ai suoi social o magari ti permette di comprare i biglietti per il concerto. Ovviamente, le tue band preferite sono solo persone sincere che promuovono il proprio lavoro e condividono eventi divertenti e musica con il mondo.
Problema: Un sito che non hai mai visitato prima ti chiede i dati della carta di credito per effettuare un acquisto. Questo può succedere anche senza codici QR. Spuntano siti ovunque che vendono articoli come vestiti, ma poi scopri che si tratta di siti realizzati in modo professionale e ben curati, senza però alcun magazzino alle spalle. Sono ladri di dati delle carte di credito. Protezione: Controlla sempre su Trustpilot, Google Reviews e simili per trovare centinaia o migliaia di recensioni su un sito. E a volte, anche quelle sono false. Se il marchio non è affidabile, non inserire i dati della carta di credito. È un peccato per i marchi emergenti che vogliono farsi un nome. Quando dovresti scansionare un codice QR: Seguili per un po’ e cerca di conoscerli come faresti con una persona prima di fidarti di qualcuno.
Tipi di attacchi di phishing tramite codici QR
- I codici QR dannosi potrebbero rubarti le credenziali per account online di alto profilo (o qualsiasi altro) come il tuo account Gmail o Microsoft. Duplicheranno siti famosi e, quando accedi al loro account copiato, ruberanno le credenziali del tuo account vero e proprio. Fai attenzione all’URL quando accedi a qualsiasi sito tramite un codice QR di cui non conosci la provenienza.
- Alcuni codici QR potrebbero scaricare automaticamente malware sul tuo telefono e poi ti chiederanno di installare un’app, tipo uno spyware, per eliminarlo. Non installare nulla di ciò che ti dicono e devi cercare delle soluzioni per eliminare quello che hanno fatto.
- A volte i truffatori mettono codici QR falsi sui parchimetri, sui manifesti di beneficenza e in altri posti dove puoi scansionarli e pagare. Una volta che sei stato reindirizzato al loro sito falso, in realtà ti ritrovi semplicemente a… pagare il truffatore.
- Attacchi con sovrapposizione di codici QR si verificano quando un truffatore incolla il proprio codice QR sopra quello vero in un luogo pubblico, quindi fai attenzione se ce n’è un altro sotto quello che stai scansionando.
- Un falso avviso di sicurezza ti chiederà di effettuare l’accesso in questo momento, con l’unico scopo di rubare le tue credenziali di accesso a un determinato sito.
- Falso WiFi Connessioni. Non collegarti mai a nessuna rete Wi-Fi gratuita nei luoghi pubblici. Probabilmente si tratta di una truffa. Fai attenzione in posti come gli aeroporti. Chiedi prima al personale dove puoi collegarti.
- Codici QR con un invito all’azione (CTA) che promettono sconti o buoni sconto Di solito ti rubano semplicemente l’indirizzo e-mail quando lo inserisci su qualsiasi sito a cui ti hanno reindirizzato, per poi inviarti fastidiose e-mail di iscrizione a cui non ti sei mai iscritto. Ci sono ancora alcune aziende serie e persone oneste che offrono cose interessanti, ma devi prima conoscerle.
- Offerte per biglietti falsi per eventi Ce ne sono anche di falsi, quindi devi assicurarti che si tratti di un vero rivenditore di biglietti prima ancora di scansionare il codice. Se sei al concerto di un vero musicista e sul posto c’è un poster con un codice QR, molto probabilmente va bene. Ma se si tratta solo di un codice spuntato fuori dal nulla, tipo un adesivo su un palo della bandiera, non è che non sia vero; anzi, alcuni giovani artisti emergenti e membri di band mettono adesivi ovunque, ma non dovresti scansionare un codice QR che se ne sta lì appeso a un lampione.
- Truffe truffe bancarie/finanziarie/nel settore delle criptovalute sono sempre possibili. Ti sconsiglio di scansionare qualsiasi codice che non sia stato inserito direttamente dalla tua banca, e sicuramente non se ti viene inviato un messaggio. Non scansionare nulla se sei stato contattato di tua iniziativa. Ci sono altri modi per gestire le tue operazioni bancarie. Soprattutto se ti chiedono i dati della carta di credito o del conto corrente. Chiudi semplicemente la pagina.
- Ci sono truffe sulle consegne C’è chi riceve SMS con informazioni false sui pacchi, quindi non fidarti, soprattutto se in realtà non stai aspettando nessun pacco. Ignorali.
- Menu falsi potrebbe essere distribuito quando viene fotocopiato da un ristorante. Se hai il menu in mano, non c’è davvero bisogno di salvarlo anche sul telefono. A meno che il ristorante non te lo metta nella busta della consegna, non darlo per scontato quando te lo danno semplicemente in pubblico.
Cos’è il QRLJacking?
L’accesso rapido tramite codice QR (QRL) ti permette di accedere direttamente a un sito senza inserire le tue credenziali. È un po’ come il codice QR di WhatsApp, che apre direttamente l’app senza bisogno di effettuare il login. È pensato per essere facile da usare, così non devi inserire la password ogni volta che accedi al sito.
Un codice QR è semplicemente un codice. Un QRL è un metodo di autenticazione che utilizza un codice QR.
Se scansioni un codice QR falso, questo potrebbe aggirare le procedure di autenticazione reali e quindi rubarti le password per accedere ai tuoi account. Potrebbe anche chiederti comunque di inserire quelle informazioni. Evita semplicemente di scansionare codici di cui non conosci la provenienza e che ti chiedono di effettuare subito l’accesso.
Anche se hai attivato l’autenticazione a due fattori (2FA) o l’autenticazione a più fattori (MFA), potrebbe chiederti di confermare nuovamente la tua identità tramite questi metodi, per concederti l’accesso. Se non accetti questa seconda forma di autenticazione, puoi proteggerti.
Come faccio a riconoscere un attacco di phishing tramite codice QR?
Dovresti sempre sapere da dove proviene il codice. Sì, i tuoi marchi preferiti come Prada o Calvin Klein potrebbero stampare un codice QR su un cartellone pubblicitario o su un manifesto alla fermata dell’autobus per invogliarti a scansionarlo. E potrebbe essere una cosa seria. Di solito, se spendono così tanti soldi in pubblicità, tipo un cartellone in una zona commerciale molto frequentata, è una cosa seria. Pensa bene a cosa stai scansionando prima di farlo e fai attenzione. Controlla bene l’URL che ti chiede dei soldi. È davvero il sito di Prada? Non aver paura dei codici QR. Sono una tecnologia fantastica, ma come per qualsiasi cosa, devi essere prudente.
Non scansionare i codici misteriosi. Se c’è un tipo losco all’angolo che distribuisce volantini, sì, potrebbe essere un artista o un musicista qualsiasi che vende biglietti per uno spettacolo. Allora tieni pure il volantino. Se ti fanno pressione perché scansioni subito il codice, significa che non dovresti farlo. Cerca semplicemente le informazioni sul volantino per conto tuo. I volantini con i codici QR sono fantastici quando vengono distribuiti durante veri e propri spettacoli e conferenze da chi ci lavora.
Se c’è qualcosa che ti sembra strano nel CTA o se i loro i materiali di marketing contengono errori ortografici o URL non del tutto corretti, ecc., non fidarti. I codici paese aggiunti alla fine di un URL possono essere autentici se ti trovi in quel paese, ma a volte prendono un URL comune, lo duplicano e aggiungono un codice paese alla fine; quando effettui l’acquisto, ti rubano i dati.
Messaggi urgenti che ti chiedono di fornire subito le tue informazioni sono un modo sicuro per capire che non si tratta di un codice autentico. I codici QR dovrebbero reindirizzarti a pagine di destinazione che ti forniscono informazioni. Non dovrebbero mai chiederti informazioni. I codici QR dovrebbero condividere contenuti su siti web, canali social, tutorial su YouTube, ecc. Ci sono alcuni siti web, come i negozi online dei tuoi rivenditori preferiti, che offrono codici QR e la possibilità di ripetere gli acquisti. Tuttavia, devi assicurarti di trovarti effettivamente sul sito web di quel negozio e che il codice provenga da un vero materiale di marketing di quel marchio, e non da uno spazio pubblico a caso.
Come posso prevenire o segnalare un attacco di quishing?
Il modo migliore per individuare il quishing sul tuo telefono è scaricare un antivirus per cellulari. Il costo è di circa 35 euro all’anno o circa 40 dollari USA. Ma cerca un servizio di protezione antivirus affidabile e di fiducia, non uno che ti ha contattato di sua iniziativa, perché potrebbe trattarsi di una truffa. E assicurati che funzioni nel Paese in cui ti trovi. Anche i sistemi antivirus autentici potrebbero farti pagare in Europa ma non funzionare fuori dagli Stati Uniti e viceversa. E non potrai riavere i tuoi soldi. Prima di acquistare, verifica che il servizio funzioni nel tuo Paese e sul tuo dispositivo.
Non accettare mai notifiche a caso sul tuo cellulare che ti chiedono di autenticare qualcosa. Ignorale e basta. Più ne ricevi, più significa che qualcuno ti sta dando la caccia, ma non può raggiungerti a meno che tu non gli dia altre informazioni. Significa semplicemente che da qualche parte hanno trovato il tuo numero di cellulare o la tua email. Ora ti chiamano anche per chiederti informazioni e registrano la tua voce per l’autenticazione vocale con risposte del tipo “sì” o “no”. Questo succede anche senza codici QR, e comunque non rispondere ai robot che ti chiamano a caso per chiederti cose. Riattacca e basta.
Se qualcuno ha cercato di duplicare la pagina di accesso, puoi segnalare i messaggi di phishing al tuo istituto finanziario o tramite le pagine “Segnala abuso” su siti come Google. Su tutti i principali social media ci sono pagine per “segnalare il phishing”, a seconda di cosa fingesse di essere il codice QR dannoso.
Se pensi di essere stato vittima di una truffa di phishing tramite codice QR, esci subito dalla pagina. Non condividere nessun dato personale. Accedi da un altro dispositivo e cambia le tue password. Puoi eseguire scansioni di sicurezza e rimuovere le app sconosciute. Se necessario, rivolgiti a un tecnico informatico qualificato in base al tuo dispositivo. Non andare semplicemente da un normale rivenditore di cellulari che non sa nulla di informatica. Puoi anche attivare l’autenticazione a due fattori (2FA) o l’autenticazione a più fattori (MFA).
Considerazioni finali sul phishing tramite codici QR
Devi stare attento a dove scansioni i codici QR. Che tu abbia un’azienda grande o piccola, dai un’occhiata ai nostri casi d’uso dei codici QR e alle pagine dedicate ai vari settori per trovare idee interessanti su come puoi aggiungere Marketing con codice QR ai tuoi materiali. Puoi farlo in modo sicuro ed efficace, e i tuoi clienti ne saranno entusiasti. Iscriviti per una prova con il nostro Generatore di codici QR e provalo tu stesso!
