Il termine Qrishing si ispira volontariamente al ben più popolare termine phishing, ossia la pratica di adescare con l’inganno un utente di Internet per espropriarlo di dati o soldi.
Se l’obiettivo è il medesimo, cioè rubare dati o denaro all’utente, il modus operandi di chi adesca con il Qrishing è molto diverso. Uno dei metodi più popolari si basa sul posizionare esattamente sopra un codice QR innocuo (come ad esempio quello di un menù all’interno di un bar), uno malevolo, che invece conduce a un sito dannoso per l’utente. I codici utilizzati dai malfattori sono adesivi e ben realizzati per non essere riconoscibili, è perciò necessario prestare estrema attenzione, o si rischia di cadere nella loro trappola.
Un secondo metodo, prevede l’inserimento di un QR Code farlocco accanto al logo di un marchio ben noto: anche in questo caso si genera un rapporto di fiducia con la vittima, che non penserebbe mai di poter finire in un tranello.
Un terzo metodo molto comune è quello di condividere, ad esempio tramite e-mail, dei codici QR che promettano di offrire sconti o promozioni. Tuttavia, una volta scannerizzato il codice ed effettuato l’accesso, l’utente si rende conto non soltanto di non aver ottenuto la promozione, ma anche peggio di essere stato truffato.
Oltre alle semplici norme comportamentali che ogni utente dovrebbe conoscere, ci sono anche delle regole ad hoc da tenere a mente per evitare questo tipo di minaccia specifica: la prima è sicuramente quella di essere sospettosi verso i QR che si trovano per strada, appesi ai muri o sui volantini lasciati in giro; importante controllare anche gli URL, specialmente quelli abbreviati, che possono nascondere la loro fonte di origine. È consigliabile infine dotarsi di un sistema di protezione per il proprio smartphone qualora si desideri scannerizzare un codice QR con maggiore serenità, ma mai senza attenzione.
