Sempre più persone scelgono l’auto elettrica come alternativa sostenibile ai tradizionali motori a combustione. Tuttavia, la transizione verso la mobilità green non è immune da rischi. Tra le nuove minacce alla sicurezza, emerge una truffa alquanto insidiosa che sfrutta la tecnologia dei QR Code presenti sulle colonnine di ricarica.
Le modalità
I malintenzionati sovrappongono un falso QR Code a quello originale, visibile sul macchinario. Quando il conducente inquadra il codice con il proprio smartphone per avviare la procedura, viene reindirizzato a un sito web fasullo, pressoché identico alla controparte originale. Qui, viene richiesto di inserire i dati della carta di credito e altre informazioni personali, inviate ai truffatori. Identificato con il nome di quishing, una combinazione dei termini “QR Code” e “phising”, la tecnica è in costante diffusione, basata sulla crescente familiarità degli utenti e la facilità d’uso. Era piuttosto ovvio l’arrivo in ambito automobilistico e la denuncia di diversi guidatori conferma i timori.
Il fenomeno non è circoscritto a una singola Nazione. Casi diqQuishing ai danni delle ignare vittime sono stati segnalati in Belgio, Paesi Bassi, Francia, Spagna, Italia e Germania. Ciò dimostra quanto la criminalità informatica sia sempre più globalizzata e apre gli occhi sulla necessità di applicare delle misure di prevenzione adeguate a livello internazionale.
Le precauzioni
In risposta all’ingegnosa truffa, esistono delle semplici precauzioni. Innanzitutto, si raccomanda di utilizzare le tessere di ricarica: diversi operatori e aggregatori ne offrono. Alla pari delle carte prepagate sui canali di e-commerce, il sistema garantisce una maggiore protezione. Nella peggiore delle ipotesi, l’importo accessibile sarà limitato al totale caricato anziché il conto corrente bancario. Prima di immettere i dati, val la pena controllare con attenzione l’indirizzo del sito.
Le piattaforme false spesso presentano URL simili alle controparte originali. Accertati che sia scritto nella maniera corretta. I portali “fake” tendono ad attuare delle lievi modifiche, ad esempio con lettere mancanti o sostitutive (ad esempio, “g00gle.com”, invece di “google.com). Butta poi un occhio all’indirizzo: deve iniziare con https://, al posto di http://. La “s” indica il ricorso a una connessione criptata e sicura. Verifica il dominio principale. Se quello ufficiale è “example.com”, una copia “fake” potrebbe essere “example-secure.com” o “example-login.com”. Clicca sul lucchetto accanto all’URL per visualizzare il certificato di sicurezza per essere certo che sia valido e rilasciato da un’autorità rispettabile. Diffida di caratteri speciali o strani nell’URL, tipo lettere accentate o simboli inconsueti.
Il QR Code presente ti sembra danneggiato o sovrapposto? Lascia perdere la colonnina. Come si suol dire in questi casi, la prudenza non è mai troppa. Attiva, inoltre, l’autenticazione a due fattori: la misura aggiuntiva contribuisce a salvaguardarsi da accessi non autorizzati. Infine, è una buona strategia aggiornare in modo regolare il software dello smartphone. Le aziende spesso ne rilasciano, contenenti anche patch di protezione dei device da attacchi cibernetici. In ottica futura, sta avvenendo una diffusione su vasta scala di soluzioni alternative, tipo il Plug & Charge. La funzionalità permette di identificare in modalità automatica la macchina e di far partire la ricarica, senza il bisogno di inserire delle credenziali.