Tutti i rischi di truffa col green pass: l'allarme degli esperti - Agenda Digitale

l'analisi

Tutti i rischi di truffa col green pass: l’allarme degli esperti

Garante Privacy, Polizia di Stato, Innovery segnalano i molteplici pericoli di cyber security e privacy associati al green pass. Alcuni già in atto, altri teorici ma non meno importanti. Ecco a cosa stare attenti

30 Giu 2021
Marco Santarelli

Chairman of the Research Committee IC2 Lab - Intelligence and Complexity Adjunct Professor Security by Design Expert in Network Analysis and Intelligence Chair Critical Infrastructures Conference

Controllo dei Green pass a scuola: ecco tutte le novità

I cyber criminali si stanno già approfittando dell’opportunità green pass e in particolare sfruttano i suoi ritardi per ingannare gli utenti.

Le minacce al momento sembra due.

  • La prima è una truffa che corre su Whatsapp, segnalata dalla Polizia di Stato. Chiede di andare su una pagina e inserire i propri dati bancari per avere il green pass. Certo i criminali sfruttano il fatto che molti lo attendono, alla luce degli intoppi relativi soprattutto a certificati di guarigione e tamponi.
  • L’altra minaccia è più teorica ma comunque da evidenziare. La società di sicurezza Innovery ha lanciato l’allarme sui QR code dei green pass: i criminali possono sfruttare i dati leggibili in questo QR-code per fare truffe, phishing, mirate.

Quanti problemi al green pass: ecco perché non vi arriva

Il Qishing, phishing col QR-Code del Green pass

Un certificato come il green pass, che fa uso di un QR code, che ha al suo interno i nostri dati personali, non poteva che sollevare dubbi sulla sua sicurezza. Il codice a cui basta puntare il nostro smartphone per poter accedere alle informazioni al suo interno è ormai di uso comune nella vita di tutti i giorni, soprattutto nella nuova quotidianità fatta di assenza, o quasi, di contatto con il mondo, a cui ci stiamo adattando. Ecco che, infatti, il menù cartaceo dei ristoranti e dei bar viene rimpiazzato dal QR code, così come accade per la prenotazione delle visite mediche o per l’accesso agli eventi pubblici.

WEBINAR
16 Settembre 2021 - 11:00
Gartner e la tendenza entro il 2024 sulla Device experience
Mobility
Networking

Immaginiamo ora un sms o una mail truffaldina che fanno aprire QR-code che si spacciano per veri green pass. E portano invece a pagine con malware o che chiedono nostri dati personali, bancari.

Massimo Grandesso, Cybersecurity Manager di Innovery, società multinazionale che opera nell’area dei servizi ICT per le medie e grandi aziende, ha dichiarato che “I QR code inviati via email riescono ad eludere i normali sistemi di antiphishing: il Qishing, così si chiama questa tecnica, funziona esattamente come cliccare su un link, solo che il link non è visibile in quanto codificato nel QR code, e si dovrebbero utilizzare le stesse cautele che si usano per i link”. Quindi, se nel caso dei link che riceviamo via mail è questo il mezzo utilizzato per ingannare la vittima e indirizzarla verso il malware, nel caso del QR code la sua semplice scansione porta a un indirizzo di phishing, che richiede le credenziali all’utente per entrare in possesso dei suoi dati personali, che siano gli accessi alla posta elettronica o alle pagine social.

Una truffa in salsa green pass può essere azionata anche dall’incauta condivisione del QR-Code da parte del possessore.

Lo stesso Garante Privacy, sulle pagine di Agendadigitale.eu, ha segnalato i rischi  della condivisione del QR-Code, per la nostra privacy.

Pericoloso mettere sui social il Qr-Code del green pass, l’allarme del Garante Privacy

Il Garante della Privacy ha raccomandato massima prudenza e di non esibire sui social media il Green pass, dato che, appunto, le informazioni personali al suo interno possono essere usate per attacchi mirati e furti d’identità.

Altra importante accortezza sta nell’evitare di aprire automaticamente una pagina dal QR code, ma controllare prima su quale indirizzo web stiamo per essere indirizzati, così come è molto importante accertarsi che la fonte del codice sia attendibile, anche nel caso dei menù di ristoranti o bar, in quanto possono non essere gli originali, ma dei doppioni incollati al di sopra degli originali. Inoltre, se il dispositivo non ha un lettore QR integrato, è bene scaricare un’applicazione apposita e qualificata per questo tipo di operazione e, ultimo, ma non di importanza, mai scansionare QR code direttamente dai canali social o via mail, se non ne conosciamo la provenienza.

La truffa whatsapp col green pass

Le raccomandazioni non arrivano solo sull’uso consapevole del QR code, ma anche sullo stesso Green pass. Come detto, si sta, infatti, diffondendo una truffa che utilizza il messaggio WhatsApp che chiede all’utente di scaricare tramite un link il certificato verde per muoversi liberamente in tutta Italia senza l’uso della mascherina. Riportiamo il messaggio così come sta circolando: “In questo link puoi scaricare il certificato verde Green Pass COVID-19 che ti permette liberamente di muoverti in tutta Italia senza mascherina”. Nel momento in cui si accede al link presente nel messaggio, si entra in una finta pagina istituzionale con loghi contraffatti che richiede all’utente di inserire dati personali e bancari, che verranno utilizzati, come avvertono le forze dell’ordine, per un uso fraudolento. Anche in questo caso, è necessario verificare la fonte di provenienza dei link e la veridicità dei siti a cui riportano.

Il messaggio reale e ufficiale che arriva, ad oggi tramite sms, a pochi giorni dell’iniezione del vaccino, dice esplicitamente che il certificato verde è disponibile, in più rilascia un codice AUTHCODE per potervi accedere, e chiede di inserire i propri dati sul sito istituzionale o su App Immuni, oppure di attendere una notifica su App IO.

Inseriti i dati richiesti, tra cui il numero identificativo della tessera sanitaria e la data di scadenza della stessa, si può scegliere la lingua del certificato e si ottiene un file pdf e un file png con QR code. Tramite il sito del governo è possibile ottenere il green pass anche attraverso l’identità digitale, Spid o Cie.

La Polizia Postale avverte sul proprio sito: “si raccomanda «di fare molta attenzione ai link indicati nei messaggi e di aprirli solo dopo averne accertato la veridicità della fonte di provenienza. Non inserire mai i propri dati personali, soprattutto quelli bancari”.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3