I codici QR sono utili scorciatoie per le risorse online tramite la fotocamera di un telefono, ma ora i truffatori li stanno manomettendo per indirizzare le vittime a pagine di phishing e truffe di criptovaluta. I codici QR o “Quick Response” collegano scanner a oggetti del mondo reale sin dagli anni ’90, ma sono stati ampiamente adottati durante la pandemia quando le aziende sono passate alla comunicazione contactless e ai pagamenti tramite codici QR sui menu dei ristoranti, parchimetri e altri spazi pubblici.
Ma i truffatori stanno ora prendendo di mira la maggiore familiarità del codice QR manomettendo i codici a barre pixelati e reindirizzando le vittime a siti che rubano accessi e informazioni finanziarie, secondo un avviso dell’FBI.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
“Le aziende utilizzano i codici QR legittimamente per fornire un comodo accesso contactless e li hanno utilizzati più frequentemente durante la pandemia di COVID-19. Tuttavia, i criminali informatici stanno sfruttando questa tecnologia indirizzando le scansioni del codice QR a siti dannosi per rubare i dati delle vittime, incorporando malware per ottenere l’accesso al dispositivo della vittima e reindirizzando il pagamento per l’uso dei criminali informatici”, osserva l’FBI nel suo avviso .
Non cita esempi recenti di truffe QR, ma segue l’uso dei codici QR nelle e-mail di phishing per rubare le credenziali di Microsoft 365 in ottobre. I codici QR sono stati utili per gli aggressori perché le immagini dei codici a barre hanno aggirato i filtri e-mail che utilizzano scanner di URL per bloccare i collegamenti dannosi.
L’FBI a ottobre ha affermato di aver recentemente iniziato a ricevere segnalazioni sull’utilizzo di codici QR dannosi , in particolare nelle truffe di criptovaluta. “Le transazioni crittografiche vengono spesso effettuate tramite codici QR associati a account crittografici … rendendo queste transazioni facili”, ha osservato l’FBI.
“Non scansionare un codice QR trovato casualmente”, ha avvertito l’FBI.
Ars Technica ha riferito di truffatori che posizionano adesivi con codici QR fraudolenti sui parchimetri nelle principali città del Texas. Questi miravano a indurre le persone a pagare per il parcheggio su un sito Web fraudolento. L’elemento di ingegneria sociale era che oggi i terminali dei parchimetri hanno spesso cartelli con codici QR per indirizzare gli utenti a un’app di pagamento di parcheggio di terze parti non urbana.
L’allerta dell’FBI affronta anche questo tipo di truffa: “Un’azienda fornisce ai clienti un codice QR che li indirizza a un sito dove possono completare una transazione di pagamento. Tuttavia, un criminale informatico può sostituire il codice previsto con un codice QR manomesso e reindirizzare il pagamento del mittente per l’uso da parte di criminali informatici”.
I codici QR possono anche caricare malware per rubare informazioni finanziarie e quindi prelevare fondi dai conti delle vittime, avverte l’FBI.
Intermezzo promozionale ... continua la lettura dopo il box:
Esistono parallelismi tra il phishing e-mail e i codici QR dannosi bloccati negli spazi pubblici. Come fanno le persone a sapere di quali fidarsi? La formazione sulla sensibilizzazione informatica dei dipendenti di solito dice agli utenti di non fare clic sui collegamenti di e-mail non richieste, ma lo fanno comunque.
Alcuni dei consigli di autodifesa dell’FBI mettono in guardia dal seguire le pratiche comuni quando si utilizza un codice QR, ma il messaggio generale è di prestare attenzione quando si inseriscono informazioni da un sito Web a cui si accede tramite un codice QR.
“Le forze dell’ordine non possono garantire il recupero dei fondi persi dopo il trasferimento”, avverte.
I suggerimenti dell’FBI per gli utenti di smartphone includono:
- controllare l’URL dopo aver scansionato un codice QR perché l’URL potrebbe sembrare il sito legittimo;
- prestare attenzione quando si inseriscono credenziali o informazioni finanziarie su un sito visitato tramite un codice QR;
- evitare di scaricare un’app da un codice QR e utilizzare invece un app store ufficiale;
- chiamare l’organizzazione se ha inviato una fattura via e-mail, consentendo il pagamento tramite un codice QR al fine di verificarne l’autenticità.
Inoltre, non scaricare uno scanner di codici QR perché la maggior parte dei telefoni ne ha uno integrato nella fotocamera. ( L’iPhone ne ha ottenuto uno nel 2011 in iOS 11 , con i produttori di Android che hanno rapidamente seguito l’esempio.)
Infine, evita di effettuare pagamenti tramite un sito navigato da un codice QR, avverte l’FBI. Immettere invece manualmente un URL noto e affidabile per completare il pagamento.
