Occhio ai truffatori. Ecco come difendersi

Quel piccolo quadratino nero e bianco è comodissimo e i truffatori lo sanno benissimo. Ecco come funziona il quishing, perché è più insidioso del phishing classico e cosa fare per non cascarci.
Associazioni dei consumatori e autorità di settore segnalano da tempo il quishing come fenomeno in crescita, specie nei contesti di pagamento fisico — trasporti, parcheggi, ristorazione. Non è un problema di nicchia: chiunque usi uno smartphone per pagare qualcosa è un bersaglio potenziale.
È esattamente quello che succede negli scenari più comuni. Un adesivo sopra il QR originale del parchimetro — e i tuoi dati della carta finiscono su un sito civetta. Un finto verbale sul parabrezza con l’invito a pagare subito per avere lo sconto. Un QR Code sul tavolo del ristorante che porta a un menu falso e chiede un pagamento anticipato. O ancora: una lettera con un premio da
riscattare, un pacco inatteso con un codice “per segnalare problemi”. Contesti diversi, stesso meccanismo.
Vale anche per le email. I filtri antispam sono diventati bravi a riconoscere i link truffaldini scritti in chiaro. Ma un QR Code è, per il filtro, solo un’immagine innocua. Così i truffatori ci mettono dentro il link, lo allegano a una mail che finge di essere la tua banca, e arrivano direttamente nella tua posta in arrivo. Aggirare un filtro sofisticato con un quadratino pixelato: non è elegante, ma funziona.
Scansionare un codice malevolo raramente infetta il telefono da solo — ma apre la porta. Da lì puoi finire su una pagina di login identica a quella di Poste Italiane o della tua banca, inserire le credenziali e consegnarle ai truffatori. Oppure autorizzare un pagamento, attivare un abbonamento di cui non saprai nulla per settimane.

Nel caso peggiore, il link scarica in silenzio un file che spia quello che fai sullo smartphone.
Come non cascarci: tocca il QR Code prima di scansionarlo. Se è un adesivo appiccicato sopra il supporto originale, lo senti. È il segnale più affidabile che hai — e non richiede nessuna app; leggi l’anteprima del link. Lo smartphone la mostra sempre prima di aprire il browser. Un dominio con errori ortografici o un’estensione insolita — comune-milano-pagamenti.net invece di .it — è già abbastanza per fermarsi;  diffida dell’urgenza. “Paga entro 24 ore per evitare la maggiorazione” è il ritornello di quasi
tutte le truffe.

Più la situazione sembra urgente, più vale la pena rallentare; usa uno scanner con protezione integrata. Molti antivirus per smartphone includono un lettore QR che analizza il link prima ancora di aprirlo. Non è fantascienza: è una
precauzione ragionevole.
Associazioni dei consumatori e autorità di settore segnalano da tempo il quishing come fenomeno in crescita, specie nei contesti di pagamento fisico — trasporti, parcheggi, ristorazione. Non è un problema di circoscritto: chiunque usi uno smartphone per pagare. qualcosa è un bersaglio potenziale.

Tito Agazio Lanciano