Truffa QR code Telegram: come i codici falsi rubano il tuo account

Attenzione: non scansionare mai QR code Telegram da siti esterni o messaggi sospetti. Questa truffa sfrutta un feature legittimo di Telegram per rubare account in pochi secondi, senza bisogno di password o codici SMS. Soluzione rapida: attiva la verifica a due passaggi (2FA) subito nelle impostazioni.

Una pericolosa truffa con QR code sta colpendo gli utenti di Telegram. Gli attaccanti inviano messaggi da contatti fidati fingendo voti, concorsi o verifiche, spingendo a scansionare un codice che concede accesso immediato all’account. L’utente originale viene escluso, e il truffatore inizia a diffondere la scam ai contatti.

Cos’è la truffa QR code su Telegram?

Telegram permette il login su desktop scansionando un QR code legittimo dall’app mobile, senza inserire password. I truffatori abusano di questa funzione creando scenari falsi: un link porta a una pagina che simula una verifica anti-bot per un voto o un contest. La vittima scansiona il codice pensando di confermare la partecipazione, ma in realtà autorizza una sessione attiva controllata dall’attaccante.

Punti chiave:

• Il QR code non verifica nulla: è un login diretto.
• Arriva da contatti noti, riducendo i sospetti.
• Nessuna password o SMS richiesta per il takeover.
• La 2FA blocca il controllo completo dell’account.

Come funziona l’attacco passo per passo

1. Ricevi un messaggio da un amico o parente: “Vota per il disegno di mio figlio!” o “Conferma per il premio”.
2. Clicchi il link e arrivi su una pagina convincente.
3. Ti chiedono di aprire Telegram, andare su Impostazioni > Dispositivi e scansionare il QR per “verifica”.
4. Boom: l’attaccante accede al tuo account.
5. Invia messaggi ai tuoi contatti per diffondere la truffa, spesso chiedendo soldi.

La vittima scopre il problema giorni dopo: logout improvviso, amici che segnalano richieste strane.

Perché le persone ci cascano?

• Fiducia nei contatti: Messaggi da numeri noti sembrano sicuri.
• Termini innocui: “Verifica”, “proof QR”, “anti-bot” suonano innocui.
• Nessun allarme: Niente form phishing o richieste password.
• Scalabilità: Ogni account hackerato diventa un vettore per nuovi attacchi.

Lo scenario del “voto” è il più comune: supporta un bambino in un concorso scolastico. Sembra innocuo e urgente.

Riconosci la minaccia in tempo

Bandiera rossa principale: Telegram non richiede QR code da siti esterni per verifiche. Qualsiasi richiesta fuori dall’app ufficiale è sospetta.

• Controlla l’origine: verifica con il contatto via altro canale (chiamata, altro app).
• Ricorda: scansionare QR = autorizzare login, non verificare.
• Siti con design simile a Telegram ma domini strani.

Come proteggere il tuo account Telegram

1. Attiva la verifica a due passaggi (2FA): Impostazioni > Privacy e sicurezza > Verifica a due passaggi. Aggiunge una password extra.
2. Tratta i QR code come password: non scansionarli alla cieca.
3. Controlla sessioni attive: Impostazioni > Dispositivi > Termina quelle sconosciute.
4. Usa antivirus con anti-phishing per bloccare link malevoli.
5. Ignora richieste inaspettate, anche da amici.

Protezione extra: Tool gratuiti come scanner QR online verificano codici sospetti prima di usarli.

Domande frequenti

“QR proof” è una funzione reale di Telegram?
No, è un’invenzione dei truffatori per far sembrare innocuo il login.

Un QR code può davvero rubare l’account?
Sì, autorizza una sessione sul dispositivo dell’attaccante.

Perché usano pagine di voto false?
Sono familiari, low-risk e convincono grazie ai contatti fidati.

Cosa fare se ho scansionato un QR sospetto?
Vai su Impostazioni > Dispositivi, termina sessioni sconosciute e attiva 2FA.

Come evitare del tutto la truffa?
Non scansionare QR da siti esterni. Considerali sempre richieste di login.

Approfondimento tecnico

Per utenti avanzati, analizziamo i meccanismi sotto il cofano. Telegram usa TDLib (Telegram Database Library) per gestire sessioni multi-dispositivo. Il QR code codifica un token di autorizzazione temporaneo generato dal server Telegram per un client desktop specifico.

Dettagli del protocollo

• Generazione QR: L’attaccante crea una sessione desktop via API Telegram (mtproto).
• Codice QR: Contiene un URL tg://login?token=... con hash temporaneo valido ~60 secondi.
• Scan dall’app: L’app mobile decodifica il QR e invia il token al server, legando la sessione desktop all’account.

Codice di esempio (pseudocodice):

# Attaccante genera QR
qr_token = telegram_api.generate_login_token(device_id)
qr_url = f"tg://login?token={qr_token}"

# Vittima scansiona
app_mobile.authorize_session(qr_token)  # Accesso concesso

Senza 2FA, l’attaccante ha piena accesso: legge chat, invia messaggi, accede cloud. Con 2FA, può solo leggere (fino a logout manuale).

Contromisure avanzate

• API monitoring: Usa bot Telegram per tracciare sessioni insolite.
• Revoca sessioni: account.resetWebAuthorizations via client API.
• Proxy MTProto: Configura Telegram con proxy per isolare traffico.
• Analisi QR: Decodifica QR con librerie come qrcode in Python:

import qrcode
from PIL import Image

data = qr.decode(Image.open('sospetto.png'))
if 'tg://login' in data:
    print("Pericoloso: token login!")

Statistiche: Dal 2023, +300% casi QR scam su Telegram (dati forum security). Colpisce soprattutto Europa/Asia.

Miglioramenti futuri: Telegram sta testando QR con PIN visivo per conferme extra. Monitora aggiornamenti.

Proteggiti: combina 2FA, vigilance e tool tech. (Parole: ~1050)

Fonte: https://www.bitdefender.com/en-us/blog/hotforsecurity/telegram-qr-code-scam-account-takeover