La Polizia Postale ha segnalato la circolazione di falsi messaggi WhatsApp che invitano a scaricare falsi Green pass inserendo i propri dati.

Milano, 29 giugno 2021 – La falsa procedura, oltre ai dati anagrafici, finisce poi per richiedere addirittura quelli bancari. “Cliccando sul link – mette in guardia la polizia – l’ignaro utente viene catapultato su una finta pagina istituzionale” e quindi viene “richiesto di inserire i propri dati personali e/o bancari con l’obiettivo di utilizzarli fraudolentemente”.

Nell’anno della pandemia i temi Covid e vaccino sono stati sfruttati come esca dai cybercriminali, ora il nuovo vettore d’attacco potrebbe essere il QR Code contenuto nel Green Pass, il certificato verde che useremo in Italia e in Europa. A lanciare l’allarme gli esperti di cybersecurezza. Arriva dopo il monito del Garante Privacy di non esibire sui social media il Green Pass che contiene informazioni personali che possono essere usate per attacchi mirati e furti d’identità.

“La Polizia Postale raccomanda di fare molta attenzione ai link indicati nei messaggi e di aprirli solo dopo avere accertato la veridicità della fonte di provenienza – si legge ancora nella nota -. Non inserire mai i propri dati personali, soprattutto quelli bancari. Eventuali messaggi sospetti potranno essere segnalati sul portale della Polizia Postale”.

Il nuovo pericolo del Qishing

Oggi i QR Code riescono a trasmettere velocemente una serie di informazioni e vengono impiegati nei contesti più vari: in bar e ristoranti per i menu, per l’accesso a eventi e luoghi pubblici, per la prenotazione di visite mediche, per ritirare prescrizioni, per la fatturazione elettronica, per le transazioni in Bitcoin, per sostituire i biglietti cartacei e per ultimo lo stesso Green Pass.

Ma va fatta molta attenzione. La scansione di un codice malevolo può infatti indirizzare automaticamente gli utenti verso un indirizzo internet di phishing che richiede mail e account social o condurre ad un app store illegittimo, dove scaricare inconsapevolmente applicazioni dannose contenenti virus.

«L’aumento dell’utilizzo di dispositivi mobili per svolgere molte delle nostre attività quotidiane ci espone a nuovi rischi e la scarsa consapevolezza sulle possibili minacce che la scansione di un QR Code può veicolare, è una preoccupazione sempre più impellente – spiega Massimo Grandesso, Cybersecurity Manager di Innovery – i QR code inviati via email riescono ad eludere i normali sistemi di antiphishing: il Qishing, così si chiama questa tecnica, funziona esattamente come cliccare su un link e si dovrebbero utilizzare le stesse cautele che si usano per questi ultimi».

7 consigli per difendersi dal Qishing

1. Non condividere un proprio QR Code se non necessario;
2. Evitare sempre l’apertura automatica di una pagina dal QR Code;
3. Visualizzare prima con attenzione l’indirizzo internet sul quale si atterrerà;
4. Accertarsi sempre che il QR Code arrivi da una fonte accreditata;
5. Quando si tratta di codici stampati, come ad esempio su un menu, assicurarsi che siano gli originali e non siano stati incollati sopra dei doppioni;
6. se il proprio dispositivo non dispone di un lettore QR Integrato, ricordarsi sempre di scaricare app qualificate.
7. Evitare di scansionare QR code dai canali social o arrivati via email se non attesi.

Alerta de la policía postal: estafas de WhatsApp para Green Pass

La Policía Postal ha denunciado la circulación de mensajes falsos de WhatsApp que invitan a descargar pases verdes falsos introduciendo sus datos.

Milán, 29 de junio de 2021 – El procedimiento falso, además de los datos personales, termina incluso solicitando datos bancarios. “Al hacer clic en el enlace – advierte a la policía – el usuario desprevenido es catapultado a una página institucional falsa” y luego se le “requiere que introduzca sus datos personales y / o bancarios con el fin de utilizarlos fraudulentamente”.

En el año de la pandemia los temas covid y vacuna fueron explotados como cebo por los ciberdelincuentes, ahora el nuevo vector de ataque podría ser el Código QR contenido en el Green Pass, el certificado verde que usaremos en Italia y Europa. Los expertos en ciberseguridad han hecho sonar la alarma. Se produce después de que el Garante de privacidad advirtió contra mostrar el Green Pass en las redes sociales que contiene información personal que se puede utilizar para ataques dirigidos y robo de identidad.

“La Policía Postal recomienda prestar mucha atención a los enlaces indicados en los mensajes y abrirlos sólo después de determinar la veracidad de la fuente de origen – todavía se lee en la nota -. Nunca introduzca sus datos personales, especialmente los datos bancarios. Cualquier mensaje sospechoso puede ser reportado en el portal de la Policía Postal”.

El nuevo peligro de Qishing

Hoy en día, los Códigos QR son capaces de transmitir rápidamente una serie de información y se utilizan en los más variados contextos: en bares y restaurantes para menús, para acceder a eventos y lugares públicos, para reservar visitas médicas, para recoger recetas, para facturación electrónica, para transacciones en Bitcoin, para reemplazar boletos de papel y, por último, el propio Green Pass.

Pero hay que tener mucho cuidado. De hecho, el escaneo de código malicioso puede dirigir automáticamente a los usuarios a una dirección de Internet de phishing que requiere correos electrónicos y cuentas sociales o conducir a una tienda de aplicaciones ilegítima, donde descargan a sabiendas aplicaciones maliciosas que contienen virus.

“El creciente uso de dispositivos móviles para hacer muchas de nuestras tareas diarias nos expone a nuevos riesgos y a una falta de conciencia de las posibles amenazas que puede transmitir el escaneo de un Código QR es una preocupación cada vez más apremiante – explica Massimo Grandesso, Gerente de Ciberseguridad de Innovery – los códigos QR enviados por correo electrónico logran eludir los sistemas antiphishing normales: Qishing, como se llama a esta técnica, funciona exactamente igual que hacer clic en un enlace y debes tomar las mismas precauciones que usas para este último».

7 consejos para defenderse de Qishing

1. No comparta su propio código QR a menos que sea necesario;
2. Siempre evite abrir automáticamente una página desde el código QR;
3. Primero vea cuidadosamente la dirección de Internet en la que aterrizará;
4. Siempre asegúrese de que el código QR proviene de una fuente acreditada;
5. Cuando se trata de códigos impresos, como en un menú, asegúrese de que son los originales y no se han pegado encima de los duplicados;
6. Si su dispositivo no tiene un lector QR incorporado, siempre recuerde descargar aplicaciones calificadas.
7. Evite escanear código QR de los canales sociales o llegar por correo electrónico si no se espera.