Un pacchetto per voi. Si prega di scansionare il codice QR

Lo shopping online è ormai parte integrante della vita quotidiana: con un paio di click ci facciamo consegnare a casa cibo, vestiti e altri prodotti. Gli amanti dello shopping online, che sono molti, a volte si dimenticano un pacco o perdono la chiamata dal corriere. Non sorprende che questa situazione venga sfruttata dagli criminali che utilizzano come esca false notifiche di consegna.

Un esempio è rappresentato dai criminali informatici che fingono di essere DHL, il noto servizio di corriere express internazionale. Tuttavia, a dare il via a questo tipo di truffa non è il solito link di phishing, ma un codice QR contenuto nell’e-mail. Oggi in questo post vi spieghiamo come e perché.

“Il tuo pacco è all’ufficio postale”

L’attacco inizia con un’e-mail, apparentemente proveniente da DHL. Sebbene l’indirizzo del mittente sia una serie di parole casuali che non hanno alcuna somiglianza con il nome del corriere, il corpo del messaggio è abbastanza convincente: logo dell’azienda, numero d’ordine (anche se falso) e presunta data di ricezione del pacco.

Il messaggio stesso (in questo caso in spagnolo) afferma che un ordine è arrivato presso l’ufficio postale locale, ma il corriere non è riuscito a consegnarlo di persona. Di solito queste esche sono accompagnate da un link che consente di “risolvere il problema”, ma questa volta c’è un codice QR.

E-mail con codice QR presumibilmente proveniente da DHL. Per sicurezza, abbiamo sostituito il codice QR nello screenshot con uno innocuo

Un codice QR è piuttosto versatile. Può essere utilizzato, ad esempio, per connettersi al Wi-Fi, pagare un acquisto o confermare l’acquisto di un biglietto per un concerto o un film. Ma forse l’uso più comune è quello di distribuire link offline: la scansione di uno di questi quadrati in bianco e nero, che possono comparire sulle confezioni dei prodotti, sui manifesti pubblicitari, sui biglietti da visita o altrove, consente di accedere rapidamente al sito web in questione.

In questo caso, ovviamente, gli hacker non hanno pensato alla comodità dell’utente. L’idea sembra essere che se la vittima apre l’e-mail su un computer, dovrà comunque leggere il codice QR con uno smartphone, il che significa che il sito dannoso si aprirà sul piccolo schermo di un cellulare, dove i segni di phishing sono più difficili da individuare. A causa dei limiti di spazio dei browser mobili, gli URL non sono completamente visibili. Inoltre, in Safari, la barra degli indirizzi è stata recentemente spostata nella parte inferiore dello schermo, dove molti utenti non guardano nemmeno. Questo fa il gioco dei criminali informatici, perché l’URL del loro sito falso non assomiglia affatto a quello ufficiale: la parola DHL non compare nemmeno.

Il testo del sito è inoltre di dimensioni ridotte, il che significa che eventuali difetti di stile sono meno evidenti. In ogni caso, non ce ne sono molti: la pagina da il benvenuto agli utenti con i colori gialli e rossi del marchio, il nome dell’azienda è riportato in basso e il testo è praticamente privo di errori, a parte un paio di lettere minuscole all’inizio delle frasi.

La vittima viene informata che il pacco arriverà entro 1-2 giorni; per riceverlo, le viene richiesto di inserire nome, cognome e indirizzo con codice postale. Il servizio di consegna richiede effettivamente questo tipo di informazioni, quindi non desta alcun sospetto.

Falso sito DHL chiede informazioni personali, oltre ai dati della carta di credito

Ma la raccolta dei dati non finisce qui. Nella pagina successiva, alla vittima viene chiesto di condividere altre informazioni sensibili: i dati della carta di credito, compreso il codice CVV sul retro, presumibilmente per pagare la consegna. Gli hacker non specificano l’importo, ma si limitano a dire che il costo dipende dalla zona e ad assicurare che il denaro non verrà addebitato fino all’arrivo del pacco. In realtà, il vero DHL richiede il pagamento della consegna in anticipo, al momento dell’ordine. Se il cliente non riceve il corriere, viene effettuato un altro tentativo di consegna gratuito.

Cosa fanno i criminali con i vostri dati di pagamento?

È improbabile che i criminali inizino ad addebitare immediatamente la carta della vittima, in modo che quest’ultima non colleghi gli addebiti all’e-mail fasulla di “DHL”. È più probabile che vendano i dati di pagamento sul dark web e che sia l’acquirente a trafugare i fondi in un secondo momento, quando la vittima potrebbe essersi già dimenticata del pacco inesistente.

Come proteggersi da queste frodi

In questo caso si applicano tutte le regole consuete per proteggersi dalle frodi informatiche:

• Quando si riceve un’e-mail che sostiene di provenire da un servizio noto, controllare sempre l’indirizzo e-mail del mittente. Il vero nome dell’azienda non compare dopo la @? È molto probabile che si tratti di una truffa. Per altri segni riconoscibili, consultate il nostro post a parte.
• Se siete in attesa di un pacco, annotate il codice di tracking e verificate voi stessi lo stato del sito ufficiale aprendolo dai Preferiti o inserendo manualmente l’URL in un motore di ricerca.
• Per essere sicuri, quando si scansionano i codici QR, utilizzare il nostro Kaspersky QR Scanner (disponibile sia per Android che per iOS. L’applicazione vi dirà se il codice punta a un sito pericoloso.
• Dotate tutti i dispositivi di un antivirus affidabile con protezione anti-phishing e anti-frode che vi avviserà tempestivamente di eventuali pericoli.