Hai trovato questa lettera nella cassetta della posta? Non scansionare il QR Code, è una truffa

La truffa della lettera con QR code misterioso nata in Svizzera è arrivata anche in Italia: ecco come proteggersi.

Con la pandemia c’è stata una larga diffusione dei codici QR. E i truffatori hanno capito subito come poter sfruttare questa tecnologia per portare a termine nuovi frodi in molteplici contesti. I codici QR, sigla che rimanda alla locuzione “quick response”, dunque “risposta rapida”, sono codici a matrice che permettono di memorizzare e trasmettere informazioni attraverso la scansione operata con uno smartphone.

Scansionando un codice QR, l’utente può essere indirizzato automaticamente a un sito web: un menù di un ristorante, una pagina istituzionale, un video o un profilo di un social media. Col tempo, molti sistemi di pagamento mobile hanno cominciato a utilizzare i codici QR per facilitare le transazioni. Per pagare una bolletta, per esempio, l’utente può inquadrare il codice con l’app del proprio istituto bancario e risolvere subito la pratica.

E qui nasce il pericolo. Già l’anno scorso in Svizzera sono state segnalate migliaia di lettere cartacee, a prima vista legittime e riferibili all’autorità fiscale, all’agenzia meteo o ad assicurazioni, con codici truffaldini. L’utente, convinto di star accedendo a una comunicazione ufficiale di un ente affidabile, inquadrava il codice e veniva così derubato.

Anche in Italia si sta diffondendo la stessa minaccia. Nelle cassette della posta arrivano lettere che assomigliano in tutto e per tutto a comunicazioni di distributori di energia o gas, istituzioni comunali, o notifiche di spedizione. La lettera, apparentemente innocua, presenta però un QR code che, se scansionato, può infettare il dispositivo con un malware e poi sottrarre all’utente dati bancari o personali.

Il QR code infetto delle lettere cartacee

All’interno della lettera è quindi inserito un QR code che non porta a una pagina informativa, ma a un sito o a un meccanismo predisposto per compromettere la sicurezza dello smartphone. Il reindirizzamento è dunque malevolo e pericoloso. Il rischio è quello di installare un malware progettato per rubare dati personali e bancari, oppure di accedere a una pagina di pagamento fasulla.

La strategia dei truffatori si basa sulla fiducia che le persone ripongono nelle comunicazioni cartacee, specie quelle istituzionali. Per proteggersi, l’unica cosa da fare è rivolgersi direttamente all’ente o alla società che presumibilmente ha inviato la missiva. Bisogna anche diffidare dalle lettere in cui il QR code è troppo in evidenza o sistemato in posizioni insolite.

Questo tipo di truffa si chiama Quishing o QR phishing… In Svizzera la maggior parte degli attacchi era finalizzata a far scaricare agli utenti un’app chiamata Severe Weather Warning App, in realtà un’esca per installare un malware: il Coper, conosciuto anche come Octo2. Per ora, in Italia i QR infetti sono stati trovati su lettere fasulle inviate a nome di vari istituti bancari. In altri casi sono comparsi su adesivi applicati su auto da prenotare con il car-shering o parcheggi.