Il fenomeno del quishing sta crescendo in modo preoccupante, e chiunque utilizzi uno smartphone dovrebbe sapere di cosa si tratta. Dietro questo nome, che nasce dall’unione di QR Code e phishing, si nasconde una delle tecniche di truffa più insidiose degli ultimi tempi. Il meccanismo è semplice quanto efficace: i truffatori creano codici QR falsi che, una volta scansionati, reindirizzano verso siti fraudolenti progettati per rubare dati personali, credenziali bancarie o informazioni sensibili.
La cosa che rende il quishing particolarmente pericoloso è che i QR Code, ormai, fanno parte della quotidianità. Si trovano ovunque: nei ristoranti per consultare il menù, nelle stazioni per acquistare biglietti, sui volantini pubblicitari, persino sui parchimetri. Ed è proprio questa familiarità a rappresentare il punto debole sfruttato dai truffatori. La maggior parte delle persone scansiona un codice QR senza pensarci due volte, senza chiedersi dove quel link porterà davvero.
Come agiscono i truffatori e perché è così difficile accorgersene
La strategia più diffusa è tanto banale quanto geniale. I malintenzionati stampano adesivi con QR Code contraffatti e li applicano sopra quelli legittimi. Un ristorante ha il suo codice sul tavolo? Basta sovrapporre un adesivo con un QR Code diverso, e il gioco è fatto. Lo stesso vale per i cartelli informativi nelle aree pubbliche, per i totem nei parcheggi o per qualsiasi superficie dove un codice QR sia esposto.
Una volta scansionato il codice fraudolento, l’utente viene portato su un sito web che replica in modo quasi perfetto quello originale. Può sembrare la pagina della propria banca, un portale di pagamento o un modulo per inserire i propri dati. E qui scatta la trappola: chi compila quei campi consegna tutto nelle mani sbagliate. Password, numeri di carta di credito, codici di accesso. Il danno può essere enorme.
Il problema è che, a differenza di un link testuale dove si può almeno leggere l’indirizzo prima di cliccare, un QR Code non mostra nulla fino a quando non lo si scansiona. È una scatola nera, e questo lo rende lo strumento perfetto per il quishing.
Le precauzioni da adottare per non cadere nella trappola
Proteggersi non richiede competenze tecniche particolari, ma serve un po’ di attenzione in più rispetto a quella che normalmente si dedica a queste operazioni. Prima di tutto, dopo aver scansionato un QR Code, è fondamentale controllare sempre l’URL che compare sullo schermo dello smartphone. Se l’indirizzo appare strano, contiene errori ortografici o non corrisponde al sito che ci si aspetterebbe, meglio non procedere.
Poi c’è la questione fisica: vale la pena dare un’occhiata al QR Code stesso. Se sembra un adesivo applicato sopra un altro, se i bordi sono irregolari o se il materiale è diverso dal supporto su cui si trova, potrebbe trattarsi di un codice contraffatto. Può sembrare un dettaglio da poco, ma è spesso il segnale più evidente.
Altro aspetto da non sottovalutare: evitare di inserire dati sensibili su pagine raggiunte tramite QR Code, specialmente se si tratta di richieste inaspettate di credenziali bancarie o password. Le banche e i servizi affidabili non chiedono mai questo tipo di informazioni attraverso un semplice codice QR trovato per strada.
Alcuni smartphone di ultima generazione mostrano un’anteprima dell’URL prima dell’apertura nel browser, e questa funzione andrebbe sempre sfruttata. Chi utilizza dispositivi più datati può installare app di scansione QR che integrano controlli di sicurezza aggiuntivi, verificando se il sito di destinazione è presente nelle liste di domini pericolosi.
