Occhio ai QRcode sulle colonnine: potrebbero nascondere una truffa chiamata in gergo “quishing”. E’ l’ultimo grido in termini di crimini informatici e in pochi mesi si è diffuso in tutta Europa, Italia compresa. Si basa su codici QR contraffatti, sovrapposti a quelli originali degli operatori della ricarica.
Arrivano in Italia i falsi codici QR che rubano dati bancari sensibili durante le ricariche alle colonnine
I falsi codici reindirizzano verso siti apparentemente identici a quelli ufficiali ma anzichè abilitare alle funzionalità della colonnina catturano (phishing in gergo) i dati personali e bancari sensibili dell’utente.
Gravi rischi di truffa alle colonnine li corrono soprattutto gli automobilisti elettrici non pre registrati e contrattualizzati presso un operatore della ricarica, quindi sprovvisti di RFDI Card o app dedicata.
Costoro, seguendo le istruzioni presenti sulla colonnina, devono scansionare con lo smartphone un QRcode attraverso cui attivare sul posto le procedure di pagamento con Carte di credito o Bancomat, con relativi codici e password. Dati che, se raccolti da organizzazioni criminali, consentono di svuotare i conti correnti o effettuare acquisti non autorizzati.
La truffa alle colonnine è già diffusa nei Paesi ad alta penetrazione di auto elettriche e più avvezzi del nostro all’uso dei pagamenti elettronici come Stati Uniti, Francia, Germania, Olanda, Belgio. Ma da alcuni mesi si registrano i primi casi anche in Italia.
Dati recenti raccolti negli Stati Uniti dimostrano che il phishing tramite codice QR è aumentato da appena lo 0,8% di tutti gli attacchi informatici nel 2021 a quasi l’11% nella prima metà del 2024.
E le colonnine di ricarica si prestano particolarmente alla truffa, non essendo presidiate e spesso collocate in zone non coperte da telecamere di sorveglianza.
Truffa alle colonnine: come difendersi dal “quishing”?
La truffa alle colonnine di ricarica: come difendersi dal “quishing”?
Come difendersi dal “quishing”? Ove non sia possibile utilizzare le molto più sicure RFDI Card o le App dei gestori è consigliabile in primo luogo verificare con attenzione che il QRcode esposto sia quello originale e non sovrapposto con un adesivo.
Prima di entrare nel sito, controllare sempre l’URL, cioè l’indirizzo Internet esteso. L’URL dei siti fraudolenti presentano sempre qualche dettaglio diverso dagli originali (lettere diverse o mancanti), e sono preceduti dalle lettere http anzichè https. La “esse” finale indica infatti una connessione sicura.
Pagare preferibilmente tramite il POS che tutte le colonnine installate da aprile in poi devono avere. In molti casi il POS è collocato su un totem a parte che serve tutti i caricatori presenti nella stazione di ricarica. Ma anche in questo caso è necessario controllare che la feritoia di ingresso per Carte di Credito e Bancomat sia quella originale e non un dispositivo aggiunto per catturare i dati sensibili delle tessere e intercettare le chiavi digitate dall’utente.
Aggiornare sempre le app di lettura dei QRcode installate negli smartphone. Nelle versioni più recenti già sono presenti software di protezione.
AGGIORNAMENTO-Ci scrive la società GMT, titolare del sistema di gestione e monitoraggio ZapGrid, chiedendo la pubblicazione di questa precisazione:
“Abbiamo constatato che la foto inserita nell’articolo è di un nostro gestore che utilizza il sistema di gestione e monitoraggio ZapGrid per il funzionamento delle stazioni di ricarica che ha sparso per il territorio.
Nella foto si vedono chiaramente i loghi ZapGrid ed il dettaglio della stazione di ricarica.
Riteniamo che la pubblicazione di tale foto in un articolo che mette in risalto il rischio di questa nuova truffa sia una “cattiva pubblicità” per il nostro prodotto.
Inoltre, questi QR code pur se statici, non rientrano in questa casistica citata nell’articolo.
Sarebbe opportuno da parte Vostra un rettifica o modifica della foto dell’articolo“.
Si ma se tu non hai l’app con la carta già registrata ed entri in un sito che ti chiede i dati della carta e tu glie li dai sei un po’ fesso. Come quelli che ti chiedono di pagare fuori da amazon….
il QR code di per sè funziona benissimo se fosse applicato in modo inelligente: non deve essere un adesivo, deve essere visualizzato a displia (ovviamente ben illuminato e visibile) , come per l’accesso alle app bancarie, o siti istituzionali ecc il QR code deve cambiare ogni tot secondie rinnovarsi.
Grazie per questo articolo lo sto condividendo con tutti quelli che conosco che guidano un’auto elettrica
👌 Ottima idea
ma … in generale .. è proprio l’uso dei QRcode che a me non piace per la difficoltà di accertarsi di cosa fai… è pure possibile scaricare SW dannoso.
@damiano I : se basta controllare l’URL generato dal QR Code non vedo rischi di rilievo.. Ovviamente anche lo smartphone dovrebbe essere impostato in modo da ridurre al minimo i pericoli informatici.
Ciao Luigi
Pensa che neppure in alcune società sei tecnologia vengono sempre controllati gli URL, i reali indirizzi email…
Se poi sei per strada.. magari di fretta..di notte o sotto la pioggia…insomma..una distrazione qualsiasi…
È ben difficile che ti venga in mente di vedere se è http o https…
Insomma…come sistema…va “sistemato ”
(Soprattutto per coloro che sono a digitare d’informatica)
Grazie a tutti per il vostro servizio di avviso pericoli. Siamo sempre presi dai nostri problemi giornalieri che è facile abbassare la guardia e prendere la fregatura. Un caro saluto a tutti.
Bisogna essere onesti e riconoscere ad Enzo che ci aveva visto giusto.
Ma anche a chi ha sempre sostenuto che pretendere il pagamento con Carte di Credito e Bancomat sarebbe stato un boomerang.
Sinceramente mi sfugge il nesso. In ogni caso carte di credito e bancomat non rientrano nel novero degli argomenti di mio interesse, non sono io quello che avanzava pretese… 😀
E come paghi in internet e altri servizi dove è obbligatoria una carta?
C’era da aspettarselo. Tutte le nuove tecnologie hanno un periodo di adattamento più o meno lungo.
Chi non si ricorda di quando le password venivano controllate carattere per carattere, dando ai primi hacker la possibilità di comprendere quando un carattere era azzeccato e quando non lo era?
Leggevo di un sistema che hanno trovato a New York per speculare su alcuni servizi di sharing ebike che prevedevano un “premio” in denaro a chi le portava a stand meno occupati. C’è chi ha guadagnato fino a 6000 $ al mese grazie a vari trucchi alquanto raffinati.
Sono certo che diventerà la consueta lotta a guardie e ladri cui siamo abituati ormai con qualsiasi tecnologia informatica.
Ho già visto un adesivo con il QR code su una colonnina becharge in riviera adriatica. Mi è subito puzzata di truffa e non ho abboccato. “Se vuoi pagare direttamente col tuo conto inquadra il QR code”. Il codice me lo deve mostrare lo schermo della colonnina, non un adesivo attaccato esternamente.
Se le colonnine mostrassero il QR code a display … sarebbe un tantino più difficile far abboccare qualcuno….