Embora os códigos QR existam há mais de 25 anos, seu uso na vida cotidiana aumentou dramaticamente desde o início da pandemia. Mas é sempre seguro digitalizá-los? Dificilmente pensamos duas vezes antes de escanear um código QR em um restaurante para ver um menu ou pagar pela comida. Mas os golpistas começaram a tirar vantagem da nossa confiança nos códigos QR. Como resultado, O phishing de código QR é uma ameaça crescente à segurança cibernética. Neste artigo, nós vamos te contar o que é, como funciona, e como se proteger contra fraudes com códigos QR.
O que são códigos QR?
Um código de resposta rápida (Código QR) é uma imagem que pode conter 7089 números ou 4296 personagens. Originalmente, os códigos QR eram apenas tags para objetos físicos. Na década de 1990, a indústria automobilística japonesa começou a usá-los para rastrear veículos e componentes em produção. Mas como os códigos QR são legíveis por máquina e podem armazenar informações, mais tarde, eles foram usados para enviar dados para um smartphone.
Embora o tipo de dados contidos em um código QR possa ser diferente, muitas vezes é apenas um link para um site. Por exemplo, no iOS, o aplicativo Câmera detectará automaticamente o código QR quando você passar o mouse sobre ele. Você será solicitado a abrir o URL vinculado em seu navegador padrão. Em primeiro lugar, isso é o que você precisa lembrar sobre os códigos QR: geralmente nada mais são do que simples links da web. E como veremos, isso tem implicações profundas na segurança cibernética.
O que é phishing de código QR?
Hoje, muitas ferramentas podem reconhecer e remover links maliciosos que podem levar a phishing sites ou malware. No entanto, a maioria deles ainda não consegue verificar códigos QR maliciosos, então os cibercriminosos começaram a usá-los com mais frequência em seus esquemas. O phishing por código QR é muito semelhante a outras formas de phishing. É uma engenharia social ataque projetado para fazer com que as pessoas entreguem informações pessoais, sejam credenciais de login ou informações financeiras. Phishing de código QR não é novidade. A diferença é que ele usa um código QR para levar a vítima a um site malicioso. Como qualquer outro phishing attack, seu único objetivo é fazer com que você insira suas informações confidenciais, como número de segurança social, informações de login do banco, credenciais de e-mail, ou então.
Ameaças que os códigos QR podem representar
Então, parece evidente que confiamos instintivamente nos códigos QR, mas deveríamos? Precisamos examinar como os códigos QR podem representar uma ameaça para responder a essa pergunta. Esta pesquisa revelou como os hackers podem manipular Códigos QR para roubar suas informações pessoais, abrindo caminho para organizações serem hackeadas. Estes últimos devem incentivar seus funcionários a terem cuidado com quem oferecem informações pessoais, incluindo a verificação dupla do endereço da web para o qual foram enviados por meio de um código QR que corresponda ao que eles esperam.
Inscrever-se em uma feira de empregos, entrando em um concurso, ou uma pesquisa pode parecer um motivo legítimo para compartilhar suas informações pessoais. No entanto, verificar novamente o endereço da web deve ajudar a confirmar sua autenticidade. Se o endereço da web não for parecido com o site da organização deveria ser, não confie nisso. Um código QR pode enviar o usuário para uma versão falsa de uma loja de aplicativos móveis. Através deste ataque, é possível acessar o telefone do usuário, pessoal (ou confidencial corporativo) mensagens, Localização GPS, e até câmera. Isso pode ameaçar seriamente qualquer negócio, arriscando os dados da empresa e deixando-os expostos a um ataque devastador. As organizações devem se interessar por seus funcionários’ segurança pessoal, incentivando-os a verificar a origem dos aplicativos ou downloads para evitar que crimes os afetem.
Os notórios ataques de código QR
- Na China, foram pegos golpistas que colocaram multas de estacionamento falsas com códigos QR para pagamento conveniente com a ajuda de telefones celulares em carros estacionados.
- Na Holanda, os fraudadores usaram um recurso legítimo de um aplicativo de banco móvel para enganar clientes do banco com códigos QR.
- Na Alemanha, e-mails falsos contendo códigos QR atraíram clientes de eBanking para sites maliciosos sob o pretexto de revisar atualizações da política de privacidade de suas contas.
- No Texas, criminosos colaram adesivos com códigos QR maliciosos nos parquímetros da cidade. Por aqui, eles enganaram os residentes para que inserissem detalhes de cartão de crédito em um site de phishing falso.
Com o aumento de tais ataques, é necessário aumentar a conscientização e fazer mais para evitar que as pessoas caiam nas mãos dos agressores’ truques.
Como proteger você e sua organização
Não é muito diferente de como costumávamos verificar e-mails e textos estranhos. No entanto, precisamos aprender a ser mais criteriosos sobre os códigos QR.
- Não digitalize! Confie nos seus instintos. Se um código parecer suspeito, não escaneie. Abaixo de qualquer código QR legítimo, deve haver um URL ao qual o código QR se refere. Dessa maneira, você pode inseri-lo diretamente ou através de um mecanismo de pesquisa. Um URL ausente deve levantar suspeitas.
- Desacelerar. Reserve um segundo para avaliar as circunstâncias antes de digitalizar. Você sabe exatamente quem postou o código QR lá? Você pode acreditar que não foi adulterado? Existe mesmo a necessidade de usar um código QR nesta situação?
- Verifique os URLs do código QR com cuidado. Tal como acontece com um site complicado, verifique o URL para o qual você está sendo enviado antes de prosseguir. Se parece suspeito, com erros ortográficos, ou não corresponde à organização que você está tentando acessar, não abra o link. Por exemplo, no golpe do parquímetro no Texas, parte do URL usado foi “passaportelab.xyz”-não parece um site oficial do governo.
- Procure sinais de adulteração física. Uma maneira fácil de ganhar sua confiança é enganar o uso legítimo de um código QR, como em um estacionamento. Então, pense bem se houver sinais de adulteração, como um adesivo sobre outro código.
- Nunca baixe aplicativos de códigos QR. Os invasores podem facilmente clonar e adulterar sites. Em vez de, sempre vá até a app store oficial do seu dispositivo para baixar o aplicativo.
- Não faça pagamentos usando códigos QR. Em vez de, use um (baixado com segurança) aplicativo proprietário ou pesquise on-line por um site de pagamento oficial.
- Habilitar autenticação multifator (AMF). Se houver um ataque não intencional a qualquer um desses, A MFA impedirá que um invasor acesse suas contas (e-mail ou contas de mídia social) com um simples login e alertá-lo sobre a tentativa suspeita.
Quando se trata de códigos QR, o melhor conselho é sempre usar o bom senso. É melhor pensarmos duas vezes sobre os e-mails um pouco estranhos, chamadas, e mensagens de texto que recebemos, percebendo que eles podem ter um propósito malicioso oculto. De alguma forma, os códigos QR escaparam desse escrutínio extra, e mais e mais pessoas estão escaneando-os sem pensar duas vezes, mas é hora de mudar isso. Digitalize com segurança.