Estamos vivenciando um aumento alarmante no número de indivíduos mal-intencionados que estão explorando as tecnologias disponíveis para montar armadilhas digitais. Essas armadilhas são projetadas com o objetivo de coletar dados pessoais, disseminar informações falsas e, em alguns casos, até mesmo extorquir dinheiro. Neste artigo, vou discutir como uma tecnologia inovadora, o QR Code, pode ser manipulada e usada para fins maliciosos, um fenômeno conhecido como quishing.
História dos códigos QR
Os códigos QR (Quick Response, ou Resposta Rápida) foram desenvolvidos pela empresa japonesa Denso Wave em 1994. Originalmente, os códigos QR foram projetados para rastrear componentes automotivos durante o processo de fabricação. No entanto, com o passar do tempo, os códigos QR ganharam popularidade devido à sua capacidade de armazenar uma grande quantidade de informações em um espaço reduzido e à facilidade com que podem ser lidos por diversos dispositivos, como smartphones ou leitores de código de barras.
Desde a sua criação, os códigos QR têm sido utilizados em uma variedade cada vez maior de aplicações e em diferentes setores, como marketing, logística, transporte e muitos outros. A popularização dos códigos QR se intensificou principalmente nos últimos anos, com um aumento significativo em seu uso e reconhecimento.
No entanto, a expansão mais notável do uso de códigos QR ocorreu principalmente no início da década de 2010 e na década seguinte. Essa popularização trouxe consigo novas oportunidades, mas também novos riscos, como o quishing, onde os códigos QR são usados de maneira maliciosa para enganar os usuários e coletar seus dados pessoais. É importante estar ciente desses riscos e tomar as precauções necessárias ao usar códigos QR.
Motivos para a popularização do QR Code
Disseminação de smartphones: Com a popularização dos smartphones, os indivíduos passaram a ter em mãos dispositivos capazes de ler QR Codes. Isso tornou os QR Codes facilmente acessíveis para um público amplo.
Uso em estratégias de marketing: As empresas começaram a incorporar QR Codes em suas estratégias de marketing, associando-os a campanhas publicitárias, promoções, sites e informações adicionais. Isso incentivou o público a interagir mais com os QR Codes.
Rastreamento da Covid-19: Durante a pandemia de Covid-19 os QR Codes foram amplamente utilizados para rastrear a exposição ao vírus e fornecer informações de saúde pública. Isso aumentou a visibilidade e a utilidade dos QR Codes.
Pagamentos móveis: Uma das utilidades mais recentes descobertas para os QR Codes é o uso em aplicativos de pagamento móvel. Isso permite que as pessoas realizem pagamentos e transações financeiras de forma conveniente, aumentando ainda mais a familiaridade com os QR Codes.
Uso em restaurantes e lojas: Muitos estabelecimentos comerciais começaram a usar QR Codes para facilitar o acesso a menus, catálogos de produtos e até mesmo para realizar pedidos, tornando-os parte integrante da experiência do cliente.
Como podemos ver, a popularização dos QR Codes ocorreu de forma gradual ao longo dos anos, mas ganhou destaque notável na última década devido ao avanço da tecnologia móvel e à sua adoção generalizada em diversas aplicações.
No entanto, é importante notar que o uso de códigos QR em atividades de phishing não é um fenômeno novo. Os criminosos estão se aproveitando da popularidade dos códigos QR, que cresceu exponencialmente durante a pandemia de Covid-19, para enganar os usuários e coletar seus dados pessoais. Portanto, é essencial estar ciente desses riscos e tomar as devidas precauções ao usar códigos QR.
O surgimento do quishing
O quishing é uma forma de phishing que utiliza códigos QR. Os códigos QR podem funcionar como um link. Quando você aponta a câmera do seu celular para um código QR, ele perguntará se você deseja acessar o link associado.
Nos últimos meses, os serviços de monitoramento de atividades maliciosas notaram um aumento significativo no envio de e-mails maliciosos que direcionam as vítimas para sites infestados de malware ou para coleta de credenciais. Esses e-mails são elaborados para parecerem convincentes, muitas vezes disfarçados como se fossem de um banco ou de outra organização confiável. Em alguns casos, eles são disfarçados para parecer que vieram do departamento de Recursos Humanos ou de Tecnologia da Informação de organizações onde a vítima trabalha.
Os ataques de quishing, na maioria das vezes, chegam em formato de imagem, com pouco ou nenhum texto. Essa prática reduz as chances de o golpista cometer erros de gramática e dificulta a detecção pelos filtros de spam.
No entanto, ainda é possível identificar muitos dos sinais comuns de um e-mail de phishing:
Urgência: O e-mail pode criar um senso de urgência, pressionando o destinatário a agir rapidamente.
Link para um site: O e-mail contém um link que leva a um site onde o destinatário é solicitado a preencher informações pessoais.
Layout desleixado do e-mail: O e-mail pode ter um layout desleixado ou conter erros gramaticais.
Endereço do remetente: O endereço do remetente pode parecer pertencer à organização de origem, mas ao examinar mais de perto, você pode notar discrepâncias.
Código QR: O código QR pode conter um link para um encurtador de URL, que é uma tática comum usada em ataques de phishing para disfarçar o verdadeiro destino do link.
É importante estar ciente desses sinais e tomar as devidas precauções ao usar códigos QR e ao lidar com e-mails suspeitos. A conscientização é a primeira linha de defesa contra esses tipos de ataques cibernéticos.
Outros riscos associados ao quishing
Os códigos QR podem ser explorados para:
Propagar malware: Incluindo vírus, trojans e ransomware. Quando os usuários escaneiam um QR Code malicioso, seus dispositivos podem ser infectados, comprometendo a segurança dos seus dados.
Mascarar links maliciosos: Os códigos QR podem ser usados para disfarçar links que direcionam os usuários a sites de distribuição de software malicioso, conteúdo ilegal ou sites fraudulentos, aumentando o risco de ataques cibernéticos.
Ativar câmeras ou microfones: Alguns códigos QR podem direcionar os usuários para ativar câmeras ou microfones, permitindo a espionagem não autorizada e a invasão de privacidade.
Ataques a sistemas: Os códigos QR podem ser usados como parte de ataques a sistemas, como a inserção de códigos maliciosos em sistemas de controle industrial ou infraestruturas críticas, o que pode ter consequências devastadoras.
Além disso, um QR Code pode conter informações pessoais que não deveriam ser compartilhadas publicamente. Se esses códigos QR forem acessíveis a terceiros não autorizados, isso pode resultar na divulgação inadequada de informações. Em outras palavras, os códigos QR também podem ser usados para enganar as pessoas, induzindo-as a fornecer informações pessoais ou financeiras. Portanto, é essencial estar ciente desses riscos e tomar as devidas precauções ao usar códigos QR.
Medidas de proteção
Para se proteger contra o quishing, recomendamos a adoção das mesmas precauções utilizadas para combater o phishing. O quishing é uma forma mais sofisticada de phishing, onde o código QR é usado para ocultar o site de phishing. Portanto, é importante estar atento a esse tipo de e-mail.
Aqui estão algumas medidas adicionais que você pode tomar para se proteger contra o uso indevido dos códigos QR:
Cautela ao escanear: Seja cauteloso ao escanear códigos QR. Certifique-se de verificar a fonte antes de seguir um link ou fornecer informações pessoais. Esteja atento a características comuns em campanhas de phishing, como um senso de urgência e apelos emocionais. Essas táticas são frequentemente usadas para pressionar o usuário a agir sem pensar.
Uso de aplicativos confiáveis: Utilize um aplicativo de scanner de QR Code de uma fonte confiável em seu dispositivo móvel. Aplicativos disponíveis nas lojas oficiais de aplicativos, como Google Play Store para Android e App Store para iOS, geralmente possuem recursos de segurança embutidos.
Fontes confiáveis: Evite escanear códigos QR de fontes desconhecidas ou não confiáveis. Lembre-se, os códigos QR podem ser facilmente criados e impressos, por isso é importante saber de onde eles vêm.
Atualizações de segurança: Mantenha o software de segurança e o antivírus do seu dispositivo móvel atualizados. Isso ajudará a proteger seu dispositivo contra malware e outras ameaças cibernéticas.
Verificação de links: Alguns smartphones e aplicativos de leitura de QR Code oferecem uma pré-visualização do link antes de abri-lo. Use essa função para verificar se o link parece suspeito. Ou seja, antes de acessar um site vinculado a um QR Code, analise a URL exibida para verificar se ele corresponde ao site legítimo. Tenha cuidado especial com URLs encurtadas, pois elas podem ocultar o destino real do link.
Controle sobre links: Alguns dispositivos têm a função de abrir automaticamente os links. Sugerimos desativar essa opção para ter mais controle sobre o que será aberto.
Educação e conscientização: Mantenha-se informado sobre as últimas táticas de phishing e quishing. A conscientização é uma das melhores defesas contra esses tipos de ataques.
Atenção a erros de ortografia ou domínios suspeitos: Fique atento a erros de ortografia ou domínios suspeitos nas URLs, pois isso pode ser um sinal de um site de phishing.
Cuidado com informações pessoais: Evite fornecer informações pessoais, como senhas ou informações de cartão de crédito, através de QR Codes, a menos que você esteja absolutamente certo da legitimidade da fonte.
Desconfie de ofertas irresistíveis: Se um QR Code parece oferecer algo que parece bom demais para ser verdade, seja cético e cauteloso. Pode ser um golpe.
Mantenha seu dispositivo atualizado: Certifique-se de que seu dispositivo esteja com o sistema operacional e aplicativos atualizados. As atualizações frequentemente incluem correções de segurança que podem proteger seu dispositivo contra ameaças.
Instale um aplicativo de segurança móvel: Instale e mantenha um aplicativo de segurança móvel confiável em seu dispositivo. Isso pode ajudar a identificar e bloquear ameaças potenciais.
Evite QR Codes em locais públicos: Evite ler QR Codes em locais onde não há controle sobre sua origem, como em banheiros públicos ou locais de grande circulação.
Denuncie QR Codes suspeitos: Se houver suspeita de que um QR Code é malicioso, sugerimos denunciar às autoridades competentes ou à empresa envolvida, se aplicável.
Lembre-se, a segurança cibernética é uma responsabilidade compartilhada e sua vigilância pessoal desempenha um papel crucial na proteção contra ameaças. Tomar precauções ao escanear QR Codes é uma parte importante de manter a segurança de seus dispositivos e informações pessoais.
Ricardo Rios, consultor especialista em LGPD, Segurança e Privacidade de Dados e head de Privacidade e Governança de TI e SI da Kassy Consultoria & Gestão Empresarial.
