Con la novità del Green Pass si sta diffusamente parlando di QR (abbreviazione per: Quick Response) code, ovverosia un codice a barre quadrato in grado di contenere delle informazioni codificate la cui lettura diventa possibile attraverso un apposito programma. Questi codici possono essere resi disponibili su un’etichetta prodotto o come parte di un coupon, stampati su foglio (ad esempio per aprire il menù di un ristorante), digitalizzati o anche avere un formato interamente digitale. Nel caso del Green Pass, l’app VerificaC19 è in grado di rendere accessibili e consultabili le informazioni riguardanti la validità del certificato nonché il nominativo e la data di nascita del titolare. Dalle specifiche tecniche pubblicate dalla Commissione Europea, il QR code contiene però alcune informazioni ulteriori, per cui l’invito del Garante ad evitarne la diffusione (soprattutto via social network) è una cautela senz’altro necessaria. Infatti, avere una chiara consapevolezza circa i dati che si fanno oggetto di comunicazione e diffusione è uno dei primi passi per poter coltivare la propria sicurezza digitale in modo corretto. Il secondo è ovviamente avere contezza dei rischi a cui ci si espone diffondendo o comunicando taluni dei propri dati personali, tenuto conto degli attuali scenari relativi ai cyberattacchi. Conoscere per prevenire, insomma. È bene ora considerare un differente scenario: quali sono i rischi se per curiosità si vuole leggere un QR code? Ebbene, dal momento che fra le informazioni che è possibile inserire all’interno del codice rientra anche un indirizzo internet, un cybercriminale potrebbe ben impiegare questo tipo di strumento per veicolare un attacco e, ad esempio, reindirizzare l’utente ad una landing page fraudolenta o inserire un url dannoso da cui scaricare un malware. Questo è il fenomeno del QRishing (QR+phishing), emerso già in ragione di un impiego maggiormente diffuso del QR code nella vita quotidiana, aumentato in modo significativo nel corso dell’emergenza pandemica. I problemi fondamentali sono analoghi allo smishing: un’erronea convinzione che lo smartphone sia sicuro e una soglia di attenzione minore relativa al suo impiego. E dunque, si può diventare vittime di truffa, dal momento che si andranno ad inserire i propri dati personali (e spesso anche le informazioni di pagamento) in una pagina aperta tramite un QR code solo apparentemente affidabile, o si scaricherà un malware sul proprio dispositivo. Ad esempio, un truffatore può sovrapporre un’etichetta con il proprio QR code sopra un codice originale o allegarlo ad una pubblicità o un buono sconto contraffatto, approfittando così della notorietà di un brand per carpire la fiducia della vittima. La consapevolezza del metodo di attacco e l’adozione delle tipiche cautele anti-phishing opportunamente declinate sono e rimangono i migliori strumenti di difesa per l’utente.
Avete considerato i pericoli di un QR code?Truffe tramite SMS: come difendersi dallo smishing Stefano GAZZELLAMarzo 14, 2020
Il phishing, è noto, consiste in una truffa online in cui si cerca di ottenere da parte del destinatario di una finta comunicazione (ad es. tramite e-mail, popup o PEC) proveniente all’apparenza da un ente affidabile informazioni di carattere personale o aziendale, come le credenziali di accesso o i dati finanziari. L’attività ingannevole consente così al cybercriminale di “pescare”, spesso all’insaputa della vittima, informazioni e password, o anche di infettare i dispositivi attraverso allegati malevoli. Lo smishing consiste in un’analoga attività svolta però con il tramite dei messaggi di testo (SMS + phishing = smishing). Per quale motivo ora vengono utilizzati gli SMS come veicolo per questo tipo di attacchi? Pregiudizio: gli utenti hanno l’erronea convinzione che gli smartphone siano generalmente sicuri, e comunque meno vulnerabili di un computer. Un ulteriore motivo è che spesso chi fa uso dello smartphone svolge in contemporanea anche altre attività (ad esempio camminare), o comunque destina a tale strumento una soglia di attenzione più bassa. Ciò significa dunque che l’utente è, sia meno consapevole dei rischi, che meno attento alle contromisure da impiegare. Questi elementi costituiscono degli indubbi vantaggi per l’azione di un cybercriminale. Inoltre, dal momento che spesso sono installate sugli smartphone (per politiche BYOD, o per prassi) anche applicazioni per la lettura delle e-mail, l’archiviazione in cloud o l’accesso ad un software gestionale che possono ricondurre ai dati o ai sistemi di un’azienda o di uno studio professionale, l’appetibilità di tali dispositivi è decisamente elevata. Come riconoscere questi tentativi di frode? Vediamo di profilare gli elementi comuni dello smishing. La leva che viene impiegata dai truffatori è spesso di tipo emotivo, dal momento che induce ad abbandonare alcune cautele basilari giocando su bisogni (offerta o partecipazione a un contest), fiducia (mittente attendibile), esigenze di protezione (migliorare la sicurezza dell’account), paure (evitare addebiti) e desideri (facili guadagni). Spesso, gli elementi di allerta sono rilevabili nei contenuti della comunicazione, la quale ad esempio richiede un intervento per evitare un qualche tipo di problema o altrimenti per aderire ad un’offerta dell’ultimo minuto. L’obiettivo è sempre fare in modo che la potenziale vittima visiti un sito web, risponda al messaggio o altrimenti chiami un numero. Ecco tre semplici consigli sui comportamenti da adottare per migliorare la propria sicurezza: • in via generale, non cliccare sui link all’interno degli SMS; • ragionare prima di agire, chiedendosi ad esempio se il mittente avrebbe inviato il tipo di SMS ricevuto, o se il contenuto della comunicazione è veritiero, anche svolgendo dei controlli ulteriori; • in caso di dubbi, tentare di contattare il mittente tramite i numeri in proprio possesso per avere conferma della comunicazione. In ogni caso, tutte le cautele adottate non devono assolutamente essere abbandonate o ridotte nel caso in cui il messaggio provenga apparentemente da un mittente noto e di fiducia, dal momento che è possibile che il numero sia stato manipolato o violato. Allo stesso modo, anche gli inviti condotti tramite SMS per scaricare app comuni e legittime, devono essere guardati con particolare prudenza, dal momento che possono mascherare dei malware autoinstallanti sul proprio smartphone. È bene ricordare che l’obiettivo del truffatore è ottenere dati personali delle vittime o a cui le vittime hanno accesso (ad esempio: società, clienti, altri contatti) per compiere furti di identità, rubare denaro o preparare ulteriori attacchi massivi. https://www.infosec.news/2020/03/14/news/sicurezza-digitale/truffe-tramite-sms-come-difendersi-dallo-smishing/