Ci mancava anche questa, i criminali proprio non smettono di inventarsi stratagemmi per rubare i nostri soldi. Ora arriva la truffa del postino, di cosa si tratta? Negli ultimi anni, l’uso dei codici QR è diventato sempre più diffuso, offrendo un modo rapido e conveniente per accedere a informazioni, servizi e pagamenti. Questa tecnologia però è stata presa di mira da truffatori che sfruttano la fiducia degli utenti per scopi fraudolenti. Una delle truffe più recenti e insidiose è la cosiddetta “truffa del postino”, che utilizza codici QR per sottrarre dati sensibili agli ignari destinatari.

Come funziona la Truffa del Postino

La truffa del postino si manifesta attraverso l’invio di lettere apparentemente ufficiali, spesso recanti loghi di enti affidabili come Poste Italiane o istituzioni governative.

All’interno della lettera è presente un codice QR accompagnato da istruzioni che invitano il destinatario a scansionarlo per accedere a presunti servizi di pubblica utilità, come notifiche meteo o allerte di protezione civile.

Una volta scansionato il codice, l’utente viene reindirizzato a una pagina web che propone il download di un’applicazione. Sebbene l’app possa sembrare legittima, in realtà contiene un malware progettato per intercettare dati sensibili, inclusi quelli bancari. Questo tipo di malware, noto come “Coper” o “Octo2”, è particolarmente pericoloso poiché si maschera da applicazione ufficiale, rendendo difficile per l’utente riconoscerne la natura malevola.

Un caso emblematico di questa frode è stato segnalato in Svizzera, dove molti cittadini hanno ricevuto lettere fasulle apparentemente inviate dall’Ufficio Federale di Meteorologia e Climatologia (MeteoSwiss) e dall’Ufficio Federale della Protezione Civile (FOCP). Il codice QR presente nella lettera reindirizzava al download di un’app denominata “Severe Weather Warning App”, che in realtà conteneva il malware Coper.

Diffusione della truffa in Italia

Anche in Italia sono stati segnalati casi simili. Ad esempio, sono stati trovati adesivi contenenti codici QR falsi attaccati nei parcheggi o inseriti in messaggi apparentemente inviati da istituti bancari. In questi casi, i truffatori utilizzano tecniche di phishing, creando pagine web che imitano quelle ufficiali per indurre le vittime a inserire le proprie credenziali, che vengono poi sottratte per scopi fraudolenti.

Questa tipologia di attacco è conosciuta come “Quishing”, una combinazione dei termini “QR” e “phishing”. Il quishing rappresenta una minaccia particolarmente insidiosa perché sfrutta la fiducia che gli utenti hanno nei confronti dei codici QR. Siamo abituati a scansionare questi codici in vari contesti, dai menu digitali nei ristoranti ai biglietti elettronici per i trasporti, spesso senza riflettere sulla possibilità di rischi associati.

I codici QR sono strumenti comodi e versatili, ma proprio la loro semplicità li rende vulnerabili alle truffe digitali. Il pericolo principale è che, una volta scansionato un codice compromesso, l’utente venga indirizzato a siti malevoli o al download di app infette.

Questi malware possono avere conseguenze devastanti, tra cui il furto delle credenziali bancarie e l’accesso illecito ai conti correnti.

Un altro rischio è rappresentato dalle pagine che richiedono l’inserimento di dati sensibili.

Quando si apre una schermata tramite QR code, l’utente potrebbe essere indotto a fornire informazioni personali senza verificarne l’autenticità. Questo è esattamente ciò su cui puntano i truffatori.

Come difendersi dalla Truffa del Postino e dal quishing

Per proteggersi da queste truffe, è fondamentale adottare alcune buone pratiche:

Diffidare dei Codici QR Provenienti da Fonti Sconosciute o Sospette: Non scansionare codici QR presenti in lettere, adesivi o messaggi di cui non si conosce la provenienza o che destano sospetti. Verificare l’Affidabilità del Mittente: Prima di scansionare un codice QR, assicurarsi che la comunicazione provenga effettivamente da un ente o un’azienda legittima. In caso di dubbi, contattare direttamente l’ente per verificare l’autenticità della comunicazione. Scaricare Applicazioni Solo da Store Ufficiali: Evitare di installare app tramite link forniti da codici QR. Utilizzare sempre gli store ufficiali come Google Play Store e App Store per scaricare applicazioni. Controllare l’URL Prima di Inserire Dati Sensibili: Dopo aver scansionato un codice QR, verificare attentamente l’indirizzo web a cui si è reindirizzati. Se l’URL sembra sospetto o non corrisponde al sito ufficiale dell’ente, non inserire alcun dato personale. Mantenere Aggiornato il Software del Dispositivo: Assicurarsi che il sistema operativo e le applicazioni del proprio smartphone siano sempre aggiornati, in modo da beneficiare delle ultime patch di sicurezza. Utilizzare Soluzioni di Sicurezza Affidabili: Installare un buon software antivirus sul proprio dispositivo mobile può aiutare a rilevare e bloccare eventuali minacce. Attivare l’Autenticazione a Due Fattori (2FA): Quando possibile, abilitare l’autenticazione a due fattori per aggiungere un ulteriore livello di sicurezza agli account online. Essere Cauti con le Richieste di Informazioni Personali: Nessun ente legittimo.

Riassumendo.