;Resize,width=638;)
Usare lo smartphone per pagare il parcheggio è diventato un gesto comune: rapido, comodo e apparentemente sicuro. Alcune segnalazioni, però, indicano che dietro questa semplicità potrebbe celarsi un potenziale raggiro ben congegnato. In diverse città europee, tra cui anche alcune italiane, pare che siano comparsi adesivi con QR code contraffatti apposti sui parcometri sopra i QR autentici. Scansionando questi codici gli utenti vengono reindirizzati a siti Web che imitano i servizi di pagamento ufficiali – come EasyPark – ma che in realtà hanno un solo scopo: sottrarre i dati delle carte di credito. Questa minaccia per gli automobilisti è un esempio del cosiddetto quishing, una fusione tra “QR” e “phishing”, che rappresenta una sorta di “trasposizione” delle truffe online dal mondo virtuale a quello reale.
Riguardo alla tecnica del quishing, la Polizia di Stato spiega:
Chiunque può creare un QR code utilizzando i numerosi siti disponibili online. Inoltre, il formato immagine utilizzato dal codice impedisce agli antivirus di rilevare le potenziali minacce contenute al suo interno. Inquadrare il QR Code con la fotocamera del proprio smartphone, per accedere all'audioguida di un museo, per visualizzare il menu di un ristorante, per pagare un parcheggio, può condurre l'utente su un falso sito, creato ad hoc dai cybercriminali per carpire i suoi dati personali e bancari.
Come funziona la truffa dei QR code nei parcheggi a pagamento
Vediamo più da vicino come funziona la truffa dei QR code nei parcheggi a pagamento. Sostanzialmente, i truffatori creano siti visivamente identici a quelli dei sistemi di pagamento dei parcheggi e generano dei codici QR che, se scansionati, rimandano proprio a queste piattaforme fraudolente. Questi QR code, poi, vengono stampati e applicati sui parchimetri: se gli utenti che desiderano pagare il parcheggio scansionano questi codici, giungeranno sul portale fraudolento creato ad hoc dai truffatori, dove verrà chiesto l'inserimento dei dati della carta, inclusi numero, data di scadenza e CVV. A quel punto, se questi dati vengono forniti, finiranno direttamente nelle mani dei criminali informatici. L'inganno funziona particolarmente bene perché sfrutta un momento di distrazione: pochi si aspettano che una truffa possa nascere da un semplice adesivo su un parchimetro. Eppure, casi come questi sono stati già segnalati in città europee, come Hannover, e a quanto pare anche in Italia, come a Verona, dove l'azienda AMT3, incaricata di gestire il Piano Urbano della Sosta per conto del Comune di Verona, ha denunciato pubblicamente la comparsa di QR code contraffatti su numerosi parchimetri in centro, come dimostra l'immagine seguente, ripresa in un articolo del quotidiano locale L'Arena.
La truffa dei QR code, comunque, non è circoscritta ai soli parcheggi a pagamento. Potrebbe essere benissimo replicata anche in altri contesti, come le colonnine di ricarica per veicoli elettrici, le vetrine di ristoranti (con la scusa di invitare a prenotare un posto o consultare il menu online ad esempio), nei musei (magari per invitare ad acquistare un audio guida), e così via.
Come difendersi dal quishing
Per difendersi dal quishing, bisogna innanzitutto tenere gli occhi ben aperti e osservare con cura l'adesivo su cui è stampato il QR code che si è invitati a scansionare: se appare sovrapposto ad altri adesivi sottostanti o se il suo aspetto è poco professionale, questo potrebbe rappresentare un primo campanello d'allarme da non ignorare. In secondo luogo, è fondamentale controllare l'indirizzo del sito che si apre dopo la scansione: nomi di dominio strani o simili a quelli autentici, ma con estensioni insolite (come “.live” o “.app”), dovrebbero mettervi sull'attenti: se l'URL non appartiene chiaramente al dominio ufficiale del servizio, è meglio chiudere la pagina e non inserire alcun dato personale. A dirla tutta, non dovreste mai inserire i dati della vostra carta di pagamento su un sito aperto tramite QR code. Molto meglio, invece, aprire manualmente il sito o usare direttamente l'app della società che gestisce il pagamento del parcheggio e procedere da lì.
Riguardo alle strategie di difesa che potete intraprendere per proteggervi dai QR code fraudolenti, infatti, anche la Polizia raccomanda:
Per evitare di cadere nella truffa del quishing è importante utilizzare le stesse buone prassi di cybersicurezza che adottiamo per il phishing e lo smishing: verificare l'indirizzo del sito che si apre dopo aver scansionato il codice, diffidando di URL abbreviati o differenti dal dominio ufficiale.
;Resize,width=270;)
;Resize,width=767;)
;Resize,width=270;)
;Resize,width=270;)
;Resize,width=270;)
