L’ultima frontiera delle truffe è il Qrishing, la truffa attraverso i Qr code. Normalmente inquadrandoli con lo smartphone rinviano direttamente a una pagina web, ma sempre più spesso vengono utilizzati anche per fare pagamenti senza contanti dagli esercizi commerciali
La capacità di stare al passo con i tempi, evolversi e adattarsi ai cambiamenti è sicuramente una dote importante per chi fa impresa. Purtroppo, è anche il punto di forza dei truffatori, soprattutto di quelli che utilizzano i mezzi informatici e i dispositivi elettronici quali smartphone e tablet per entrare in contatto con le loro vittime e sfilargli dati personali, password e soprattutto soldi. Come racconta il Salvagente nel numero di febbraio 2023, la figura dell’hacker solitario che riesce a installare un malware, un software maligno, sul computer di uno sprovveduto, seppur non scomparsa del tutto, è quasi un ricordo del passato. Oggi, a operare, sono spesso vere e proprie organizzazioni criminali che utilizzano il contatto diretto con il malcapitato per aggirare le misure di sicurezza delle banche e degli istituti di credito.
Come si evolvono le truffe
Romano Stasi, direttore operativo di Certfin (centro finanziato da Banca d’Italia e Abi per implementare la cybersicurezza delle banche) intervenuto al webinar di Confconsumatori “Prima e dopo la truffa digitale: strumenti di tutela del cittadino”, spiega al Salvagente: “Adesso il frodatore parla con il cittadino, mette in piedi forme di frode evoluta. Questo perché per ottenere i dati che gli servono per trasferire del denaro, ha bisogno spesso di qualcosa che solo la stessa vittima può fornirgli. Le truffe passano soprattutto tramite la manipolazione, modo migliore per ottenere la password o la Otp (la conferma di sicurezza di un’operazione) direttamente dal frodato”.
Il social engineering
In termini tecnici viene definito “social engineering”, e consiste nello spacciarsi per qualcun altro, in genere un dipendente della banca presso cui si ha il conto, o un funzionario del fisco, per convincere il malcapitato ad aggiungere volontariamente il pezzo mancante al mosaico necessario per portare a termine la frode, oltre alle informazioni già raccolte dal frodatore tramite ricerca sul web, o tramite phishing (tecnica che utilizza mail e sms per ottenere dati, anche attraverso malware).
La sicurezza informatica
Secondo Stasi, nel 2021, 350 milioni di euro sono stati investiti in cybersicurezza dalle banche italiane. Eppure le frodi continuano, come conferma il rapporto Certfin 2022 “Sicurezza e frodi informatiche in banca”, che suddivide i tipi di frodi più diffuse in base alla tipologia. Nel 41% dei casi il punto di primo contatto avviene tramite spoofing da contatto telefonico. Con questo termine si indica, appunto, il truffatore che si finge qualcun altro per far fare alla vittima un’azione decisiva. Nel 27,3% de casi, invece, la persona viene agganciata con sms che usano lo stratagemma dell’alias. “Esistono delle procedure usate dai criminali per sovrascrivere il numero da cui parte la chiamata o l’sms, – spiega Stasi – come se ci si appiccicasse sopra un’altra etichetta. Così magari nel cellulare appare che il mittente è la propria banca e ciò predispone l’utente a rispondere a quella che poi si rivelerà in realtà una frode”. Anche la mail, con un 10,9% di segnalazioni, resta un mezzo di contatto molto usato. Per quanto riguarda, invece, la tecnologia con cui si finalizza l’operazione, in più della metà dei casi, è la manipolazione dell’utente, con cui ci si finge per esempio il supporto clienti della banca. Nel 26,8% dei casi, invece, a dare il colpo di grazia è un malware.
La frode del Qr code
Adriano Bottazzi, segretario della divisione italiana di Acfe, l’Associazione degli esaminatori certificati di frodi, che conta 90mila esperti in tutto il mondo, fa un esempio per rendere chiaro quanto ingegnosi e aggiornati siano i truffatori in questo campo: “L’ultima frontiera è il Qrishing, la truffa attraverso i Qr code, (quei codici presentati come dei quadratini con dei segni grafici dentro, ndr). Normalmente inquadrandoli con lo smartphone rinviano direttamente a una pagina web, ma sempre più spesso vengono utilizzati anche per fare pagamenti senza contanti dagli esercizi commerciali. Una persona – continua Bottazzi – va dal negoziante, fa l’acquisto, inquadra Qr code, si apre la pagina con l’importo da pagare, e paga”. Le piattaforme per pagamenti sono sempre più diffuse. Anche Satispay, per esempio, permette il pagamento tramite Qr code. Il problema, però, spiega Bottazzi, è quando interviene il truffatore: “Basta modificare o sostituire il Qr code per dirottare il cliente. Nel caso venga usato per il pagamento, l’azione serve ad accedere ai dati bancari del cliente. Per esempio, è stato scoperto in un parcheggio di Austin, in Texas, che veniva sovrapposto uno sticker a quello originale presente nelle colonnine per pagare, con un Qr code falso. Il malcapitato veniva dirottato su un sito malevolo che scaricava malware”.
Non conosci il Salvagente? Scarica GRATIS il numero con l'inchiesta sull'olio extravergine cliccando sul pulsante qui in basso e scopri cosa significa avere accesso a un’informazione davvero libera e indipendente
Come si diffonde
L’esperto sottolinea come anche in Francia questo tipo di frode si stia diffondendo, tanto che le autorità hanno avvertito la popolazione. “Qui vengono inserite nelle caselle di posta cartoline di mancata consegna di raccomandata finte, con Qr code per poter ricevere nuovamente la raccomandata invece di andare allo sportello, e anche qui si viene dirottati, si inseriscono dati e si scaricano malware”. Nel mondo, spiega Bottazzi, nel 2025 si prevedono 2,2 miliardi di utenti che utilizzeranno smartphone per pagare con Qr code (oggi sono 1,5 miliardi), con un incremento del 29% a livello globale. In Cina il Qr code è il secondo metodo di pagamento dopo i contanti. “Rischiamo di essere invasi da Qr code maligni”, aggiunge l’esperto, “ma per fortuna, almeno fino a oggi, con le banche italiane e i loro sistemi di sicurezza non ci sono pericoli. Né segnalazioni di frodi subite in Italia”. Fino al prossimo colpo d’ingegno degli hacker, verrebbe da aggiungere. Gli strumenti per svuotarci le tasche sono tanti e vari, e anche per questo queste pagine provano a far chiarezza anche chi è poco avvezzo agli strumenti informatici.