Ora anche il postino vi recapita a casa il virus: attenzione alla lettera con il QR code che vi ruba i dati sensibili
Ormai i QR code sono entrati a far parte della nostra quotidianità per la loro semplicità di utilizzo, in quanto molti smartphone hanno il lettore già integrato nell'app della fotocamera e basta inquadrare il riquadro del codice per visualizzare il link che reindirizza a siti web e documenti digitali, o che permette di scaricare app, pagare parcheggi, e visualizzare menù al ristorante, tuttavia anche gli hacker li sfruttano per infettare i dispositivi elettronici degli utenti e rubare i loro dati sensibili.
(Nella foto: Nicola Bernardi, presidente di Federprivacy)
Ne è un esempio la campagna malware che si sta infatti diffondendo proprio tramite QR code sul territorio svizzero. Nulla di nuovo sotto il sole, se non fosse che i codici malevoli vengono recapitati direttamente a casa dal postino.
E dato che difficilmente chi riceve una lettera nella cassetta postale immagina che un QR contenuto nel documento possa risultare pericoloso, il Centro nazionale svizzero per la sicurezza informatica (NCSC) non ha esitato a lanciare l’allarme segnalando come diversi cittadini stanno ricevendo documenti apparentemente relativi all’Ufficio federale di meteorologia e climatologia, ma che in realtà hanno uno scopo fraudolento.
La lettera in questione contiene un codice QR per lo scaricamento dell’app meteo disponibile sul territorio elvetico e nota come “Alertswiss”, ma una volta scaricata ad essere installata è un’altra app che si chiama “Severe Weather Warning”, la quale contiene un virus molto pericoloso.
Dopo l’installazione, il malware va a scaricare e installare una variante del trojan “Coper” (noto anche come “Octo2”), che agisce intercettando messaggi di autenticazione a due fattori, rubando credenziali bancarie e attuando altre operazioni simili. Coper ha accesso a oltre 383 app per smartphone, agendo anche direzionando gli utenti su pagine web di phishing finalizzate al furto di dati personali.
Il NCSC spiega che identificare il codice QR può non essere semplice, visto che le lettere cartacee comunicano un messaggio utile per la comunità e sembrano del tutto credibili, con tanto di logo ufficiale dell’Ufficio federale di meteorologia. Come sottolineato dagli esperti, in realtà con un po’ di attenzione è possibile scovare delle piccole anomalie per capire se il codice è falso o manipolato evitando in extremis di cadere nella trappola. Ad esempio, l’app Alertswiss falsa, presenta una maiuscola di troppo, risultando “AlertSwiss” e svelando la sua dubbia natura. Inoltre, come da consuetudine in questi casi, l’app viene diffusa attraverso un sito web di terze parti e non da Google Play Store, come avviene per l’app ufficiale.
Se invece si è già provveduto a scaricare e installare l’app, non rimane che resettate lo smartphone ripristinandolo alle impostazioni predefinite di fabbrica.
Ma le truffe perpetrate tramite codici QR non riguardano solo la Svizzera, in quanto anche in Italia si stanno registrando diversi casi di adesivi attaccati nei parcheggi che hanno un QR Code che incoraggia gli automobilisti a scaricare l’app per pagare il ticket del pedaggio, ma che in realtà è uno strumento usato dai truffatori per ingannare gli automobilisti.
Di recente, anche alcuni istituti bancari italiani hanno lanciato l’allarme su alcuni QR Code creati dai criminali che sembrano rimandare al sito originale della banca, richiedendo all’utente di inserire le proprie informazioni sensibili, che però vengono carpite e utilizzate dai ladri attraverso quello che è un clone del vero sito dell’istituto.
I codici QR non sono quindi solo pratici ad usare, ma rappresentano anche una seria minaccia per la privacy e la sicurezza dei cittadini, che possono facilmente cadere nel tranello, specialmente se il codice malevolo viene inserito in una lettera cartacea che di solito non ha nulla a che vedere con le frodi informatiche.
La diffusione di questa tipologie di truffe è talmente in crescita che gli esperti hanno classificato il fenomeno coniando il termine “quishing“ per indicare quelle tecniche in cui i malintenzionati ingannano gli individui inducendoli a scansionare falsi codici QR per reindirizzarli a siti web fraudolenti, applicazioni dannose progettate per rubare informazioni sensibili, o prendere in ostaggio i dati dell’utente attraverso un ransomware.
