Da domani il Green Pass Europeo: attenti al Qishing
Il Qishing è una parola alla quale dovremmo abituarci spesso. Crasi di Phishing e QR Code, è il fenomeno col quale l’abuso del QR Code possa rendere più facile le operazioni di Phishing.
Sono paroloni difficili, lo so, ma ne abbiamo parlato. Il Phishing è quell’operazione per cui ti viene mandato un link “affidabile” che affidabile non è. Un messaggino WhatsApp che promette ricchi premi per chi clicca, oppure un messaggio virale che offre “scorciatoie” per il desiderato Green Pass.
Ma anche link a spedizioni che non avete mai richiesto, o iPhone gratis. Il senso è convincervi, davanti un marchio noto, a cliccare su un link che nella migliore delle ipotesi ti abbonerà a loghi e suonerie. Nella peggiore però vi chiederà dati personali, come nomi utenti, password di email ed estremi di carte di credito.
E finché si tratta di link, ormai è una truffa così vecchia che siamo tutti sospettosi anche di fronte alle email legittime.
L’arrivo del Green Pass però consente di ravvivare la cosa. Ma non solo il Green Pass.
Cos’è il Qishing? Cosa è un QR Code?
Se avete vissuto una vita anche solo un po’ “mondana” saprete cos’è un QR Code. Un meandro, un simbolo di quadratini ripetuti leggibile dal cellulare che può contenere una stringa di testo o altri dati.
Solitamente usato per custodire un link. Ad esempio avete visto nei musei dei QRCode che, scansionati, aprono pagine illustrative sui quadri. O nei ristoranti dei QR Code che aprono dei menù interattivi, necessari in periodo pandemico per limitare lo scambio di carta.
Ma il Green Pass è quel genere di QR Code con cui tutti avremo a che fare, quantomeno da domani. E quindi
“L’aumento dell’utilizzo di dispositivi mobile per svolgere molte delle nostre attività quotidiane ci espone a nuovi rischi, e la scarsa consapevolezza sulle possibili minacce che la scansione di un QR Code può veicolare è una preoccupazione sempre più impellente” spiega Massimo Grandesso, Cybersecurity Manager di Innovery.
“I QR code inviati via email riescono ad eludere i normali sistemi di antiphishing: il Qishing, così si chiama questa tecnica, funziona esattamente come cliccare su un link, solo che il link non è visibile in quanto codificato nel QR code, e si dovrebbero utilizzare le stesse cautele che si usano per i link” sottolinea ancora Grandesso.
Sostanzialmente ancora una volta il buco nero non è nella tecnologia, ma nell’uomo.
Aprendo un QRCode con gli appositi programmi nessuno di noi controlla esattamente cosa sta aprendo.
“Si fa a fidarsi”.
Coi link siamo diventati giustamente paranoici. Col QR Code, vediamo il link in chiaro solo pochi secondi dopo aver inquadrato il codice.
E siamo portati per natura a cliccare OK e andare avanti, mentre con un messaggino controlleremmo il link.
Come difendersi
Va ad esempio ricordato che il QR Code del Green Pass non contiene link o indirizzi.
Scansionandolo con un programma di uso comune per i QR mostra una lunghissima stringa alfanumerica che, abbiamo detto, fornisce ad un server gli estremi per esibire all’app VerificaC19 i dati necessari a capire lo status vaccinale di qualcuno.
Vi abbiamo già parlato dei rischi connessi all’esibire con troppa liberalità il Green Pass, addirittura ricaricandolo online.
Così facendo si forniscono a malintenzionati eccellenti materiali di studio per ottenere i dati personali cui il Green Pass è viatico e punto di accesso.
Ma diffondendo falsi Green Pass, e incitando a scansionarli non con VerificaC19, ma con app a caso, si possono creare autentiche versioni QRCode delle “mail truffaldine” che ti portano a siti di abbonamenti, loghi, sonerie e truffe.
E non solo col QR Code del Green Pass: pensate ad esempio a QR Code legati a siti truffaldini sparsi per le strade mediante stencili sui muri, su locandine, su siti internet creati appositamente.
Quindi come possiamo difenderci? Controllando il link che il QR Code contiene prima di aprirlo. I programmi ti consentono quel controllo.
E se ci caschi? Ci sono delle istruzioni che vi abbiamo già dato, che prevedono bloccare eventuali carte di credito conferite, cambiare password di account usati e contattare le autorità.
Se il nostro servizio ti piace sostienici su PATREON o
con una donazione PAYPAL.