Attenzione alla “truffa del postino”: una lettera apparentemente innocua potrebbe nascondere un QR code pericoloso, in grado di installare malware e rubare dati bancari.
Indice Articolo
Una lettera ricevuta dal postino può nascondere una minaccia informatica. La cosiddetta “truffa del postino” utilizza QR code per diffondere malware in grado di sottrarre dati sensibili, comprese le credenziali bancarie. Dopo le prime segnalazioni in Svizzera, questa frode si sta diffondendo anche in Italia. È importante sapere come riconoscerla e proteggersi.
La ricezione di comunicazioni cartacee provenienti da enti considerati affidabili, come Poste Italiane o istituzioni governative, non genera sospetti. I truffatori sfruttano proprio questa fiducia: inviano lettere contenenti QR code che, benché possano sembrare innocui, convocano il destinatario a scaricare un’applicazione per servizi pubblici, come avvisi meteo o notifiche di protezione civile.
Tuttavia, il QR code rimanda al download di un’app compromessa, progettata per raccogliere dati bancari e di accesso. Questo tipo di attacco, noto come Quishing (QR phishing), sfrutta la diffusione e l’uso comune dei QR code nella vita quotidiana.
Dalla Svizzera all’Italia: il malware che svuota i conti correnti
L’allerta è stata pubblicata per la prima volta in Svizzera, dove diversi cittadini hanno ricevuto comunicazioni apparentemente inviate da MeteoSwiss e dal Federal Office for Civil Protection (FOCP). Scansionando il QR code incluso nella lettera, le vittime erano indirizzate a scaricare un’app chiamata Severe Weather Warning App, che in realtà era un’esca per installare il malware Coper (noto anche come Octo2).
Una volta installato su dispositivi Android, questo malware si masquerà come un’app ufficiale, permettendo di intercettare informazioni sensibili da oltre 380 applicazioni, comprese quelle per l’home banking, consentendo ai cybercriminali di accedere ai conti correnti online delle vittime.
Anche in Italia sono emersi casi simili, con QR code fraudolenti rinvenuti su comunicazioni cartacee, adesivi nei parcheggi e perfino in messaggi e email contraffatte a nome di istituti bancari. I truffatori replicano QR code di servizi di pagamento e portali bancari, inducendo gli utenti a inserire le proprie credenziali in pagine web che sembrano originali ma sono gestite da criminali.
Come proteggersi dalla truffa del QR code
La prevenzione è essenziale di fronte a questa minaccia. Di seguito alcuni consigli pratici per evitare di diventare vittime della truffa del postino:
- Non scansionare mai un QR code ricevuto tramite lettere, email o SMS da fonti sconosciute o sospette.
- Scaricare esclusivamente app da store ufficiali, come Google Play Store o App Store.
- Verificare sempre la provenienza delle comunicazioni ricevute: se si tratta di una banca o di un ente pubblico, contattare direttamente il servizio clienti utilizzando i canali ufficiali.
- Non inserire dati bancari o credenziali di accesso in pagine aperte tramite QR code senza prima averne verificato l’autenticità.
Cosa fare se si è stati truffati
Se si è scansionato un QR code sospetto e installato un’app malevola, agire tempestivamente è fondamentale:
- Disinstallare immediatamente l’app sospetta.
- Ripristinare il telefono alle impostazioni di fabbrica per rimuovere il malware.
- Cambiare tutte le credenziali di accesso ai servizi bancari e sensibili.
- Segnalare l’accaduto alla Polizia Postale o alle autorità competenti.
In un contesto in cui i truffatori stanno affinando le loro tecniche e approfittando della fiducia riposta nella tecnologia, la consapevolezza e la cautela si rivelano fondamentali per la protezione. La sicurezza digitale diventa una responsabilità condivisa.
