Il phishing entra nella posta ordinaria: codici QR che scaricano malware travestiti da app ufficiali. Scopri come proteggerti da questa nuova minaccia!

Ti fideresti di una lettera ricevuta per posta al tuo indirizzo di casa, che sembra provenire da un ente governativo come la Protezione Civile e che ti chiede di fare la scansione di un codice QR per installare un’app per le emergenze climatiche?

Questo è quello che è successo recentemente in Svizzera, durante una truffa di phishing “fisico” che ha coinvolto decine di persone, convincendole a installare un’app falsa che conteneva un malware chiamato Coper, che rubava dati bancari e codici di autenticazione in due passaggi.

È la nuova frontiera del malware e delle truffe informatiche: gli hacker inventano sempre nuove tecniche e creano scenari ibridi (offline e online) per confondere le vittime e ingannarle.

In questo articolo parliamo di questa nuova truffa con codice QR, di come proteggersi dal phishing e di come sta cambiando il panorama delle minacce digitali. Buona lettura!


La busta conteneva una lettera e un codice QR per scaricare un’app fraudolenta, infetta dal malware Coper.


La truffa del codice QR inviato per posta

Poche settimane fa, alcune centinaia di persone in Svizzera hanno ricevuto una lettera che sembrava provenire dal Federal Office of Meteorology and Climatology. La busta conteneva un codice QR da scansionare e una lettera che ne spiegava la funzione: a causa dei recenti eventi climatici estremi, l’istituto aveva creato un’app ufficiale per inviare notifiche urgenti in caso di emergenza, per cui era importantissimo che tutti i cittadini la installassero subito.

In realtà, il codice QR indirizzava le vittime su una pagina di phishing da cui scaricare un’app simile a quella originale (ne esiste effettivamente una), ma che contiene un malware.

Questo spyware, chiamato Coper, funziona in background e richiede autorizzazioni di alto livello sul dispositivo per rubare dati bancari e altre informazioni sensibili, e per spiare le comunicazioni di autenticazione in due passaggi, ad esempio quando la vittima riceve un codice monouso via email o SMS.

LEGGI ANCHE: Le 10 truffe online più diffuse

Perché questo attacco è così pericoloso?

La novità sta nel fatto che questo attacco combina molti meccanismi psicologici e tecnologici per ingannare le persone:

  • Imita un organismo ufficiale, considerato affidabile.
  • Fa leva sull’urgenza e sulla paura delle persone per la propria incolumità.
  • Utilizza il formato della posta ordinaria per aggiungere un tocco di ufficialità e formalità in più, che rende la truffa più convincente.
  • Il messaggio e i dettagli grafici sono fatti bene, grazie all’aiuto dell’intelligenza artificiale generativa.
  • Infine, il malware prende di mira specificamente gli utenti di Android, che sono più suscettibili a cadere in una truffa a causa del modo in cui utilizziamo lo smartphone, ovvero velocemente e mentre facciamo altre cose.

Insomma, questa truffa è ben congeniata e sfrutta molti punti deboli dell’essere umano, dalla paura fino alle scorciatoie di pensiero, ovvero quei meccanismi psicologici innati che utilizziamo per reagire velocemente nella vita reale, come credere a una fonte che consideriamo attendibile, senza verificarla ogni volta.


Le nuove tecniche degli hacker combinano vari meccanismi psicologici e tecnologici, per questo sono sempre più difficili da riconoscere.


Come proteggersi dal phishing via posta (e non solo)

L’aspetto che ci preme sottolineare è che gli hacker stanno diventando sempre più astuti e le loro tecniche si evolvono continuamente, per cui è importantissimo stare al passo con le novità del settore, informarsi, conoscere le minacce più recenti e saperle riconoscere.

Vediamo alcuni consigli pratici

  • Controllare sempre le fonti

    Quando una comunicazione è particolarmente importante, verifica l’autenticità della fonte in modo indipendente, cioè senza cliccare su link o allegati contenuti nel messaggio, ma cercandola invece con un motore di ricerca online.

  • Attenzione ai messaggi urgenti

    e che incutono paura. Le comunicazioni ufficiali non fanno leva sulla paura; anzi, di solito, durante un’emergenza, tendono a rassicurare le persone, affinché non dilaghi il panico e possano reagire in modo efficace ed efficiente.

  • Molta attenzione ai codici QR

    Abbiamo l’abitudine di abbassare la guardia di fronte a questa tecnologia, e invece dobbiamo pensare che ormai è ampiamente sfruttata dagli hacker. Quindi, quando devi aprirne uno, prima verifica la fonte e quando lo scansioni, prima di fare clic sul link, controlla il nome del sito a cui rimanda.

  • Esaminare con attenzione i contenuti

    In casi come questi, la prudenza non è mai troppa. Quindi, dopo tutti i controlli visti finora, ti chiediamo di farne ancora un altro: leggi bene il testo per vedere se ci sono imprecisioni, errori di ortografia o grammatica, piccole differenze nei colori del marchio dell’azienda o dell’ente governativo e così via.

  • Se ti viene chiesto di scaricare un’app

    Controlla direttamente che sia disponibile su Google Play o sull’Apple Store. In caso contrario, quasi sicuramente si tratta di phishing e l’app che ti viene proposta contiene malware.

  • Installa un buon antivirus


    Che riconosca questi malware e spyware e tienilo sempre aggiornato, affinché possa riconoscere anche quelli più recenti.

  • Utilizza un’app per i QR


    Che li analizzi prima di aprirli e includa funzionalità di sicurezza.

  • Se nonostante tutte queste misure di sicurezza dovessi cadere in una truffa di phishing, non ti preoccupare, a tutto c’è rimedio: disinstalla subito l’app e, se puoi, ripristina le impostazioni di fabbrica del telefono. Cambia le credenziali di accesso dell’account violato e infine contatta la tua banca per bloccare eventuali transazioni fraudolente e ricevere istruzioni più specifiche.

Seguendo questi consigli, ridurrai al minimo il rischio di cadere in truffe di phishing tramite posta fisica, con codici QR e qualsiasi altro stratagemma che gli hacker inventeranno in futuro, perché la chiave della difesa informatica è sempre la stessa: fare attenzione e disporre delle informazioni giuste.

Detto questo, continua a seguire il nostro blog e informati regolarmente su altri media online, perché questo attacco potrebbe essere replicato al di fuori della Svizzera e in altri modi diversi.

In questo post abbiamo visto come funziona il nuovo attacco di phishing tramite posta ordinaria con un codice QR malevolo, che mira a installare un malware chiamato Coper.

Ci teniamo, però, a rassicurarti: non tutti i codici QR sono dannosi, anzi. Sono una tecnologia molto comoda e sicura in molti casi, basta verificare sempre l’autenticità del codice e della fonte.

E tu, hai mai ricevuto una lettera o un’email di phishing di questo tipo? Hai mai trovato un codice QR dannoso? Faccelo sapere nei commenti e condividi questo post con amici e parenti per aiutarli a difendersi dalle truffe online!

CONTINUA A LEGGERE: Il telefono ci ascolta? Sfatiamo questo mito

Buona navigazione e buona protezione dal phishing per posta!