QRishing: se la curiosità uccide, un po’ di cautela non guasta

di Umberto Rapetto (Generale Gdf – già comandante Nucleo Speciale Frodi Telematiche)

 Incappare in una fregatura non ci deve demoralizzare e se toccasse in sorte a qualche famigliare, amico o conoscente dobbiamo mettere a frutto l’aver imparato certe piccole cose offrendo paziente assistenza.

Sono cose che succedono, si sa, ma la constatazione non può tramutarsi in rassegnazione. Il fatto che ci si possa cascare non vuole assolutamente dire che si debba essere le prossime vittime.

Evitare di cadere nelle fauci dei cybercriminali non è affatto una missione impossibile. Una volta fatto il piccolo guaio di aver inquadrato un QR code “avvelenato”, il malcapitato deve avere la lucidità di realizzare di essere finito su un sito non richiesto e non si deve spaventare se sullo schermo vengono visualizzate frasi allarmanti. Tanto meno deve inserire nomi identificativi e parole chiave o eseguire altre azioni che gli vengono imperativamente consigliate dall’autore dell’inganno.

Non ci si deve colpevolizzare ma occorre imparare la lezione per evitare di incappare successivamente in una trappola simile. Le principali precauzioni sono di carattere preventivo e si basano sostanzialmente su una maggiore attenzione e su un po’ di sana prudenza.

Così come abbiamo imparato a diffidare dei messaggi in posta elettronica che possono contenere qualche inganno, adesso bisogna concentrarsi su una nuova insidia.

È bene sapere che i criminali si affidano alla curiosità delle potenziali vittime e sanno che qualcuno cadrà nella tentazione di “scansionare” il codice dannoso creato appositamente per far scattare la frode.

I codici QR sono quasi sempre una rappresentazione grafica di un indirizzo Internet ma non sempre abbinano il quadratino alla dicitura testuale del link. L’assenza di quella informazione è il primo campanello di allarme.

I più scaltri stampano un indirizzo rassicurante che però è diverso da quello che viene raggiunto dallo smartphone una volta che inquadra il QR code. Se davvero interessava quel sito o quella specifica pagina, costa poca fatica confrontare l’indirizzo su cui si è finiti con quello affiancato al codice. Non si consideri una perdita di tempo il sillabare le “coordinate” del web suggerito e verificare la sua esattezza: se non coincide con quello stampigliato si è imboccata la strada desiderata da chi tende l’agguato digitale.

I codici QR ingannevoli vengono di solito applicati sopra ai codici originali di un prodotto. Prendendo in mano un prodotto in un supermercato può far comodo avere dettagli in più rispetto a quel che si può leggere sull’etichetta. Normalmente il QR può far raggiungere la pagina web in cui sono fornite ulteriori informazioni, ma se c’è lo zampino di qualche bandito bisogna prepararsi al peggio. Un adesivo applicato sulla confezione può essere giustificato da un aggiornamento dell’indirizzo Internet del produttore, ma molto più facilmente deve far scattare qualche sospetto.

Non va dimenticato che per fregare i malcapitati i delinquenti informatici utilizzano codici QR piazzati accanto a un marchio di una azienda famosa, magari simulando una pubblicità oppure diffondendo volantini o manifesti creati ad hoc.

Occhio, poi, ai buoni sconto che risultano essere una delle esche cui abbocca il maggior numero di persone. La “golosità” del possibile risparmio può distrarre e fa calare il livello della nostra attenzione, rendendo vane tutte le precauzioni adottate fino a quel momento.

Può rivelarsi utile l’installazione di applicazioni di sicurezza che si fanno sentire chiedendo all’utente se vuole entrare in siti non affidabili o poco sicuri, ma la cautela è il miglior antidoto a questo genere di fregatura.