l'analisi

Tutti i rischi di truffa col green pass: l’allarme degli esperti

Garante Privacy, Polizia di Stato, Innovery segnalano i molteplici pericoli di cyber security e privacy associati al green pass. Alcuni già in atto, altri teorici ma non meno importanti. Ecco a cosa stare attenti

Pubblicato il 30 Giu 2021

Marco Santarelli

Chairman of the Research Committee IC2 Lab - Intelligence and Complexity Adjunct Professor Security by Design Expert in Network Analysis and Intelligence Chair Critical Infrastructures Conference

I cyber criminali si stanno già approfittando dell’opportunità green pass e in particolare sfruttano i suoi ritardi per ingannare gli utenti.

Le minacce al momento sembra due.

  • La prima è una truffa che corre su Whatsapp, segnalata dalla Polizia di Stato. Chiede di andare su una pagina e inserire i propri dati bancari per avere il green pass. Certo i criminali sfruttano il fatto che molti lo attendono, alla luce degli intoppi relativi soprattutto a certificati di guarigione e tamponi.
  • L’altra minaccia è più teorica ma comunque da evidenziare. La società di sicurezza Innovery ha lanciato l’allarme sui QR code dei green pass: i criminali possono sfruttare i dati leggibili in questo QR-code per fare truffe, phishing, mirate.

Quanti problemi al green pass: ecco perché non vi arriva

Il Qishing, phishing col QR-Code del Green pass

Un certificato come il green pass, che fa uso di un QR code, che ha al suo interno i nostri dati personali, non poteva che sollevare dubbi sulla sua sicurezza. Il codice a cui basta puntare il nostro smartphone per poter accedere alle informazioni al suo interno è ormai di uso comune nella vita di tutti i giorni, soprattutto nella nuova quotidianità fatta di assenza, o quasi, di contatto con il mondo, a cui ci stiamo adattando. Ecco che, infatti, il menù cartaceo dei ristoranti e dei bar viene rimpiazzato dal QR code, così come accade per la prenotazione delle visite mediche o per l’accesso agli eventi pubblici.

Immaginiamo ora un sms o una mail truffaldina che fanno aprire QR-code che si spacciano per veri green pass. E portano invece a pagine con malware o che chiedono nostri dati personali, bancari.

Massimo Grandesso, Cybersecurity Manager di Innovery, società multinazionale che opera nell’area dei servizi ICT per le medie e grandi aziende, ha dichiarato che “I QR code inviati via email riescono ad eludere i normali sistemi di antiphishing: il Qishing, così si chiama questa tecnica, funziona esattamente come cliccare su un link, solo che il link non è visibile in quanto codificato nel QR code, e si dovrebbero utilizzare le stesse cautele che si usano per i link”. Quindi, se nel caso dei link che riceviamo via mail è questo il mezzo utilizzato per ingannare la vittima e indirizzarla verso il malware, nel caso del QR code la sua semplice scansione porta a un indirizzo di phishing, che richiede le credenziali all’utente per entrare in possesso dei suoi dati personali, che siano gli accessi alla posta elettronica o alle pagine social.

Una truffa in salsa green pass può essere azionata anche dall’incauta condivisione del QR-Code da parte del possessore.

Lo stesso Garante Privacy, sulle pagine di Agendadigitale.eu, ha segnalato i rischi  della condivisione del QR-Code, per la nostra privacy.

Pericoloso mettere sui social il Qr-Code del green pass, l’allarme del Garante Privacy

Il Garante della Privacy ha raccomandato massima prudenza e di non esibire sui social media il Green pass, dato che, appunto, le informazioni personali al suo interno possono essere usate per attacchi mirati e furti d’identità.

Altra importante accortezza sta nell’evitare di aprire automaticamente una pagina dal QR code, ma controllare prima su quale indirizzo web stiamo per essere indirizzati, così come è molto importante accertarsi che la fonte del codice sia attendibile, anche nel caso dei menù di ristoranti o bar, in quanto possono non essere gli originali, ma dei doppioni incollati al di sopra degli originali. Inoltre, se il dispositivo non ha un lettore QR integrato, è bene scaricare un’applicazione apposita e qualificata per questo tipo di operazione e, ultimo, ma non di importanza, mai scansionare QR code direttamente dai canali social o via mail, se non ne conosciamo la provenienza.

La truffa whatsapp col green pass

Le raccomandazioni non arrivano solo sull’uso consapevole del QR code, ma anche sullo stesso Green pass. Come detto, si sta, infatti, diffondendo una truffa che utilizza il messaggio WhatsApp che chiede all’utente di scaricare tramite un link il certificato verde per muoversi liberamente in tutta Italia senza l’uso della mascherina. Riportiamo il messaggio così come sta circolando: “In questo link puoi scaricare il certificato verde Green Pass COVID-19 che ti permette liberamente di muoverti in tutta Italia senza mascherina”. Nel momento in cui si accede al link presente nel messaggio, si entra in una finta pagina istituzionale con loghi contraffatti che richiede all’utente di inserire dati personali e bancari, che verranno utilizzati, come avvertono le forze dell’ordine, per un uso fraudolento. Anche in questo caso, è necessario verificare la fonte di provenienza dei link e la veridicità dei siti a cui riportano.

Il messaggio reale e ufficiale che arriva, ad oggi tramite sms, a pochi giorni dell’iniezione del vaccino, dice esplicitamente che il certificato verde è disponibile, in più rilascia un codice AUTHCODE per potervi accedere, e chiede di inserire i propri dati sul sito istituzionale o su App Immuni, oppure di attendere una notifica su App IO.

Inseriti i dati richiesti, tra cui il numero identificativo della tessera sanitaria e la data di scadenza della stessa, si può scegliere la lingua del certificato e si ottiene un file pdf e un file png con QR code. Tramite il sito del governo è possibile ottenere il green pass anche attraverso l’identità digitale, Spid o Cie.

La Polizia Postale avverte sul proprio sito: “si raccomanda «di fare molta attenzione ai link indicati nei messaggi e di aprirli solo dopo averne accertato la veridicità della fonte di provenienza. Non inserire mai i propri dati personali, soprattutto quelli bancari”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati