0 risultati
video suggerito
video suggerito
25 Novembre 2024
12:39

Una lettera contenente un QR code può svuotarvi il conto: come riconoscere la “truffa del postino”

Se doveste ricevere una lettera cartacea che vi invita a scaricare un'app con un QR code, fate attenzione, perché potrebbe provenire da criminali informatici. Potreste essere infatti vittima della cosiddetta “truffa del postino”: inquadrando il codice QR viene installato un malware per Android che ruba dati sensibili, tra cui coordinate bancarie. Ecco come funziona e come potete difendervi concretamente.

216 condivisioni
Una lettera contenente un QR code può svuotarvi il conto: come riconoscere la “truffa del postino”
truffa postino QR code

Una lettera, apparentemente innocua recapitata dal postino, che sembra provenire da un ente autorevole come per esempio Poste Italiane, contiene un QR code, cioè un codice di identificazione quadrato fatto di "pixel" bianchi e neri. Conosciuta come “truffa del postino”, questa frode sfrutta l’ingegneria sociale per indurre gli utenti a scaricare un’app fasulla contenente malware tramite la scansione del QR code malevolo. Una volta installato, infatti, il malware prende il controllo dei dati sensibili dell'utente, tra cui credenziali bancarie e informazioni personali, mettendo a rischio la vostra sicurezza digitale. Il fenomeno, segnalato inizialmente in Svizzera, si sta diffondendo anche in Italia, colpendo in modo particolare gli utenti Android. Di seguito, vi spieghiamo più dettagliatamente come funziona la “truffa del postino”, come riconoscerla e come proteggervi.

Come funziona la “truffa del postino” arrivata in Italia e come riconoscerla

La truffa si presenta con una lettera fisica, apparentemente inviata da un’istituzione governativa o un ente affidabile, che vi invita a scaricare un’app dedicata, spesso legata a tematiche di sicurezza o emergenze, come allerte meteo o notifiche di protezione civile. Il trucco è semplice ma efficace: in fondo alla lettera trovate un QR code, ovvero un’immagine quadrata con moduli neri su sfondo bianco che, se scansionata, vi reindirizza al download di un’app infetta. Il QR code, originariamente concepito per semplificare l’accesso a contenuti digitali, è diventato un mezzo popolare anche per i truffatori, complice la sua diffusione durante la pandemia, facendo proliferare episodi di Quishing o QR phishing (ovvero un phishing perpetrato mediante l'uso di codici QR).

Un esempio recente di questa frode è emerso in Svizzera, dove molti cittadini hanno ricevuto lettere fasulle apparentemente inviate dall’ufficio federale di meteorologia e climatologia MeteoSwiss e dal FOCP (Federal Office for Civil Protection). Il QR code in questione reindirizzava al download di un’app denominata Severe Weather Warning App, che invece conteneva il malware Coper (conosciuto anche come Octo2). Questo software malevolo, una volta installato su dispositivi Android, si maschera come un’app ufficiale della protezione civile, modificando persino l’aspetto grafico per sembrare autentico. In realtà, il malware ha lo scopo di rubare credenziali di accesso da oltre 380 app, inclusi i servizi di home banking, mettendo così a rischio il conto corrente delle vittime.

Anche in Italia sono stati segnalati casi simili, con adesivi contenente QR code fasulli attaccati nei parcheggi o inseriti in messaggi apparentemente inviati da istituti bancari. In questo contesto, i truffatori utilizzano tecniche di phishing, una forma di inganno digitale che sfrutta falsi messaggi o siti Web per carpire dati personali. Per esempio, clonano QR code di portali bancari o sistemi di pagamento, inducendo le vittime a inserire le proprie credenziali in pagine fasulle.

Lettera della truffa del postino
Una delle lettere recapitate in Svizzera dai truffatori. Credit: NCSC.

Come difendersi dalla truffa del QR code che può svuotare il conto bancario

Per difendervi da questa minaccia, adottate alcune precauzioni fondamentali. Non scansionate mai un QR code che proviene da una fonte sconosciuta o sospetta. Ricordate che applicazioni di enti pubblici, banche, etc., devono essere scaricate esclusivamente dagli store ufficiali come il Google Play Store o l'App Store. E se venite contattati in qualche modo dalla vostra banca (tramite una lettera cartacea, tramite e-mail, via messaggio, con una telefonata, etc.), assicuratevi della legittimità delle comunicazioni ricevute, specialmente se venite invitati a compiere azioni potenzialmente sospette, magari contattando a vostra volta il servizio clienti per accertarvi di come stanno realmente le cose.

Se sospettate di essere caduti in una truffa, agite rapidamente. Disinstallate l’app sospetta e ripristinate il dispositivo alle impostazioni di fabbrica per eliminare il malware. Cosa altrettanto importante, segnalate l’accaduto alle autorità competenti, come la Polizia Postale.

Sfondo autopromo
Cosa stai cercando?
api url views