Scendi dall’auto, tiri fuori lo smartphone, inquadri il quadratino bianco e nero sul parcometro e paghi. Questione di secondi. Ma proprio qui si nasconde una delle ultime truffe digitali: il quishing: QR Code e phishing. L’allarme arriva da Pesaro, dove Pesaro Parcheggi ha scoperto decine di adesivi pirata incollati sopra i codici QR originali dei parcometri cittadini. L’azienda ha rimosso le esche e sporto denuncia, ma il fenomeno rischia di replicarsi ovunque e non solo sui parcheggi.
La truffa del Qr Code nei parcheggi come funziona
Il meccanismo è semplice: i truffatori stampano un QR Code falsi e lo applicano sopra quello autentico. Chi lo scansiona non finisce sul portale del Comune, ma su una pagina clone, graficamente identica a quella ufficiale, dove inserisce i dati della carta di credito, il codice di sicurezza e talvolta anche informazioni personali per ricevere la ricevuta. Dati che finiscono dritti in mano ai cyber criminali. Il paradosso? Non si paga nemmeno la sosta, col rischio di trovarsi pure la multa.
Come funziona il quishing e perché è così insidioso
Un QR Code è un’immagine che contiene quasi sempre un link. Quando lo inquadri, lo smartphone ti reindirizza automaticamente a un sito o a un’app. Ed è qui che scatta la trappola. La forza del quishing sta nella fiducia visiva: un codice QR sembra tecnologico, ufficiale, e soprattutto non mostra dove porta prima di essere aperto. Così abbassi la guardia e il truffatore ne approfitta. I siti fraudolenti sono spesso copie perfette di quelli originali, con loghi, colori e sistemi di pagamento apparentemente regolari. In alcuni casi il codice non si limita a rubare credenziali: può far scaricare un malware che, installato, dà ai criminali accesso a password, messaggi e persino ai codici della banca.
Tutti i campi in cui può scattare la truffa del QR Code
Il quishing non si ferma ai parcometri. Ci sono i ristoranti e locali: un adesivo sul tavolo che invita a “consultare il menu” o “prenotare” può aprire una pagina che scarica un virus o chiede i dati della carta. Ci sono poi eventi, fiere, volantini con codici sparsi su manifesti o brochure che possono nascondere link malevoli. Puoi poi ricevere e-mail e sms con messaggi tipo “Verifica la tua spedizione” che, con QR Code, portano a siti clone di banche, corrieri o servizi online. Puoi cadere anche in falsi download di app. Qui il codice fa scaricare un file che sembra un’applicazione ufficiale ma è un trojan. Una volta installato, il truffatore ottiene il controllo del telefono. E il quishing può colpire anche colonnine di ricarica elettrica, biglietterie automatiche, bancomat. Ovunque ci sia un QR per pagare, un adesivo pirata può essere incollato sopra quello legittimo.
Come difendersi dal quishing: cinque regole d’oro
Pre proteggerti bastano pochi accorgimenti. Toccare con mano: prima di inquadrare è sempre meglio passare un dito sul QR Code. Se si sente lo scalino di un adesivo applicato sopra la superficie è quasi certamente un falso. Bisogna poi controllare bene l’url dopo la scansione del codice. Per pagare i parcheggi il modo più sicuro è affidarsi alle app ufficiali direttamente dallo store del telefono, senza passare per link esterni. Ci sono poi le due regole sempre valide contro le truffe online: mai inserire dati sensibili e tenere aggiornato lo smartphone in modo che riconosca più facilmente siti pericolosi e file sospetti. E se temi di essere caduto in trappola? È opportuno chiamare subito la banca, bloccare la carta, monitorate i movimenti sul conto e sporgete denuncia alla Polizia Postale.