I cyber criminali si stanno già approfittando dell’opportunità green pass e in particolare sfruttano i suoi ritardi per ingannare gli utenti.
Le minacce al momento sembra due.
- La prima è una truffa che corre su Whatsapp, segnalata dalla Polizia di Stato. Chiede di andare su una pagina e inserire i propri dati bancari per avere il green pass. Certo i criminali sfruttano il fatto che molti lo attendono, alla luce degli intoppi relativi soprattutto a certificati di guarigione e tamponi.
- L’altra minaccia è più teorica ma comunque da evidenziare. La società di sicurezza Innovery ha lanciato l’allarme sui QR code dei green pass: i criminali possono sfruttare i dati leggibili in questo QR-code per fare truffe, phishing, mirate.
Il Qishing, phishing col QR-Code del Green pass
Un certificato come il green pass, che fa uso di un QR code, che ha al suo interno i nostri dati personali, non poteva che sollevare dubbi sulla sua sicurezza. Il codice a cui basta puntare il nostro smartphone per poter accedere alle informazioni al suo interno è ormai di uso comune nella vita di tutti i giorni, soprattutto nella nuova quotidianità fatta di assenza, o quasi, di contatto con il mondo, a cui ci stiamo adattando. Ecco che, infatti, il menù cartaceo dei ristoranti e dei bar viene rimpiazzato dal QR code, così come accade per la prenotazione delle visite mediche o per l’accesso agli eventi pubblici.
Immaginiamo ora un sms o una mail truffaldina che fanno aprire QR-code che si spacciano per veri green pass. E portano invece a pagine con malware o che chiedono nostri dati personali, bancari.
Massimo Grandesso, Cybersecurity Manager di Innovery, società multinazionale che opera nell’area dei servizi ICT per le medie e grandi aziende, ha dichiarato che “I QR code inviati via email riescono ad eludere i normali sistemi di antiphishing: il Qishing, così si chiama questa tecnica, funziona esattamente come cliccare su un link, solo che il link non è visibile in quanto codificato nel QR code, e si dovrebbero utilizzare le stesse cautele che si usano per i link”. Quindi, se nel caso dei link che riceviamo via mail è questo il mezzo utilizzato per ingannare la vittima e indirizzarla verso il malware, nel caso del QR code la sua semplice scansione porta a un indirizzo di phishing, che richiede le credenziali all’utente per entrare in possesso dei suoi dati personali, che siano gli accessi alla posta elettronica o alle pagine social.
Una truffa in salsa green pass può essere azionata anche dall’incauta condivisione del QR-Code da parte del possessore.
Lo stesso Garante Privacy, sulle pagine di Agendadigitale.eu, ha segnalato i rischi della condivisione del QR-Code, per la nostra privacy.
Pericoloso mettere sui social il Qr-Code del green pass, l’allarme del Garante Privacy
Il Garante della Privacy ha raccomandato massima prudenza e di non esibire sui social media il Green pass, dato che, appunto, le informazioni personali al suo interno possono essere usate per attacchi mirati e furti d’identità.
Altra importante accortezza sta nell’evitare di aprire automaticamente una pagina dal QR code, ma controllare prima su quale indirizzo web stiamo per essere indirizzati, così come è molto importante accertarsi che la fonte del codice sia attendibile, anche nel caso dei menù di ristoranti o bar, in quanto possono non essere gli originali, ma dei doppioni incollati al di sopra degli originali. Inoltre, se il dispositivo non ha un lettore QR integrato, è bene scaricare un’applicazione apposita e qualificata per questo tipo di operazione e, ultimo, ma non di importanza, mai scansionare QR code direttamente dai canali social o via mail, se non ne conosciamo la provenienza.
La truffa whatsapp col green pass
Le raccomandazioni non arrivano solo sull’uso consapevole del QR code, ma anche sullo stesso Green pass. Come detto, si sta, infatti, diffondendo una truffa che utilizza il messaggio WhatsApp che chiede all’utente di scaricare tramite un link il certificato verde per muoversi liberamente in tutta Italia senza l’uso della mascherina. Riportiamo il messaggio così come sta circolando: “In questo link puoi scaricare il certificato verde Green Pass COVID-19 che ti permette liberamente di muoverti in tutta Italia senza mascherina”. Nel momento in cui si accede al link presente nel messaggio, si entra in una finta pagina istituzionale con loghi contraffatti che richiede all’utente di inserire dati personali e bancari, che verranno utilizzati, come avvertono le forze dell’ordine, per un uso fraudolento. Anche in questo caso, è necessario verificare la fonte di provenienza dei link e la veridicità dei siti a cui riportano.
Il messaggio reale e ufficiale che arriva, ad oggi tramite sms, a pochi giorni dell’iniezione del vaccino, dice esplicitamente che il certificato verde è disponibile, in più rilascia un codice AUTHCODE per potervi accedere, e chiede di inserire i propri dati sul sito istituzionale o su App Immuni, oppure di attendere una notifica su App IO.
Inseriti i dati richiesti, tra cui il numero identificativo della tessera sanitaria e la data di scadenza della stessa, si può scegliere la lingua del certificato e si ottiene un file pdf e un file png con QR code. Tramite il sito del governo è possibile ottenere il green pass anche attraverso l’identità digitale, Spid o Cie.
La Polizia Postale avverte sul proprio sito: “si raccomanda «di fare molta attenzione ai link indicati nei messaggi e di aprirli solo dopo averne accertato la veridicità della fonte di provenienza. Non inserire mai i propri dati personali, soprattutto quelli bancari”.
