Una lettera, apparentemente innocua recapitata dal postino, che sembra provenire da un ente autorevole come per esempio Poste Italiane, contiene un QR code, cioè un codice di identificazione quadrato fatto di "pixel" bianchi e neri. Conosciuta come “truffa del postino”, questa frode sfrutta l’ingegneria sociale per indurre gli utenti a scaricare un’app fasulla contenente malware tramite la scansione del QR code malevolo. Una volta installato, infatti, il malware prende il controllo dei dati sensibili dell'utente, tra cui credenziali bancarie e informazioni personali, mettendo a rischio la vostra sicurezza digitale. Il fenomeno, segnalato inizialmente in Svizzera, si sta diffondendo anche in Italia, colpendo in modo particolare gli utenti Android. Di seguito, vi spieghiamo più dettagliatamente come funziona la “truffa del postino”, come riconoscerla e come proteggervi.
Come funziona la “truffa del postino” arrivata in Italia e come riconoscerla
La truffa si presenta con una lettera fisica, apparentemente inviata da un’istituzione governativa o un ente affidabile, che vi invita a scaricare un’app dedicata, spesso legata a tematiche di sicurezza o emergenze, come allerte meteo o notifiche di protezione civile. Il trucco è semplice ma efficace: in fondo alla lettera trovate un QR code, ovvero un’immagine quadrata con moduli neri su sfondo bianco che, se scansionata, vi reindirizza al download di un’app infetta. Il QR code, originariamente concepito per semplificare l’accesso a contenuti digitali, è diventato un mezzo popolare anche per i truffatori, complice la sua diffusione durante la pandemia, facendo proliferare episodi di Quishing o QR phishing (ovvero un phishing perpetrato mediante l'uso di codici QR).
Un esempio recente di questa frode è emerso in Svizzera, dove molti cittadini hanno ricevuto lettere fasulle apparentemente inviate dall’ufficio federale di meteorologia e climatologia MeteoSwiss e dal FOCP (Federal Office for Civil Protection). Il QR code in questione reindirizzava al download di un’app denominata Severe Weather Warning App, che invece conteneva il malware Coper (conosciuto anche come Octo2). Questo software malevolo, una volta installato su dispositivi Android, si maschera come un’app ufficiale della protezione civile, modificando persino l’aspetto grafico per sembrare autentico. In realtà, il malware ha lo scopo di rubare credenziali di accesso da oltre 380 app, inclusi i servizi di home banking, mettendo così a rischio il conto corrente delle vittime.
Anche in Italia sono stati segnalati casi simili, con adesivi contenente QR code fasulli attaccati nei parcheggi o inseriti in messaggi apparentemente inviati da istituti bancari. In questo contesto, i truffatori utilizzano tecniche di phishing, una forma di inganno digitale che sfrutta falsi messaggi o siti Web per carpire dati personali. Per esempio, clonano QR code di portali bancari o sistemi di pagamento, inducendo le vittime a inserire le proprie credenziali in pagine fasulle.
Come difendersi dalla truffa del QR code che può svuotare il conto bancario
Per difendervi da questa minaccia, adottate alcune precauzioni fondamentali. Non scansionate mai un QR code che proviene da una fonte sconosciuta o sospetta. Ricordate che applicazioni di enti pubblici, banche, etc., devono essere scaricate esclusivamente dagli store ufficiali come il Google Play Store o l'App Store. E se venite contattati in qualche modo dalla vostra banca (tramite una lettera cartacea, tramite e-mail, via messaggio, con una telefonata, etc.), assicuratevi della legittimità delle comunicazioni ricevute, specialmente se venite invitati a compiere azioni potenzialmente sospette, magari contattando a vostra volta il servizio clienti per accertarvi di come stanno realmente le cose.
Se sospettate di essere caduti in una truffa, agite rapidamente. Disinstallate l’app sospetta e ripristinate il dispositivo alle impostazioni di fabbrica per eliminare il malware. Cosa altrettanto importante, segnalate l’accaduto alle autorità competenti, come la Polizia Postale.