Check Point alerta sobre riscos do QR Code

0

Hoje em dia, você não precisa ir muito longe para encontrar um código QR. Desde seu início humilde em rótulos e peças de rastreamento usados na fabricação de veículos, esses pequenos códigos de barras quadrados estão aparecendo em todos os lugares, desde embalagens de produtos até pôsteres, outdoors revistas e jornais.

Os códigos QR são um ponto de ligação entre o mundo offline e online. Ao escaneá-lo com seu smartphone, você pode acessar rapidamente o conteúdo digital acionado pelo código – um sonho para o comerciante, que pode direcionar usuários para informações e serviços com mais facilidade. Melhor ainda, o código apresenta um fator estético e desperta a curiosidade, e os usuários apreciam a conveniência de “apontar e navegar”.

Mas, esses mesmos fatores também são úteis para hackers, que usam a tecnologia como uma ferramenta de engenharia social para aproveitar do interesse e da confiança do usuário e direcioná-lo para sites maliciosos ou malware. Enquanto o conceito de downloads direcionados já está bem estabelecido como uma tática clandestina para roubar dados de usuários navegando na Internet, os códigos QR oferecem um método novo de manipular usuários móveis de funcionam de maneira semelhante.

Uma questão de confiança

O problema dos códigos QR é que eles obrigam o usuário a confiar na integridade do fornecedor do código e presumir que o destino seja seguro. Para o usuário, é praticamente impossível avaliar a segurança do destino, por que o código QR oculta o site e o conteúdo de destino. Enquanto os ataques baseados em engenharia social evoluíram bastante desde os worms enviados por e-mail do início do século, eles ainda aproveitam da curiosidade do ser humano de querer ver o que acontece ao clicar em um anexo, ou ler um código QR, e isso pode causar problemas de segurança.

Além disso, os aplicativos de leitura dos códigos QR para smartphones podem representar um link direto para outros recursos do dispositivo, como e-mail, SMS, serviços de localização e instalação de aplicativos – aumentando ainda mais os possíveis riscos para os aparelhos móveis. Vamos analisar como um possível ataque baseado em códigos QR poderia ser montada, e depois como se defender dele.

Leitura do código

A primeira etapa para montar um ataque via QR é distribuir o código para chegar até as possíveis vítimas. Isso pode acontecer acrescentando o código QR em um e-mail – transformando o ataque em um ataque de phishing – ou distribuindo documentos físicos bem elaborados que incluem o código QR, por exemplo, anúncios durante eventos como feiras, ou adesivos aplicados em outdoors.

Depois de distribuir o código QR, o hacker possui uma série de opções para aproveitar do usuário. Basicamente, o código pode simplesmente redirecionar o usuário para sites falsos para phishing – por exemplo, uma loja online ou um site de pagamentos falsos que roubam os dados do usuário.

Explorações mais sofisticadas usam o código QR para direcionar o usuário para sites que ‘desbloqueiam’ seu dispositivo móvel – ou seja, esses sites oferecem acesso ao sistema operacional do dispositivo e instalam malware. Basicamente, esse é um ataque direcionado ao dispositivo, permitindo a instalação de outros softwares ou aplicativos, como gravadores de teclado e rastreadores de GPS, sem o conhecimento ou a permissão do usuário.

Um busca da carteira móvel

Talvez o maior risco em potencial seja o uso crescente de serviços bancários e pagamentos realizados por smartphones. O código QR pode desbloquear o dispositivo e acessar aplicativos, abrindo um caminho rápido para o hacker acessar as carteiras móveis, especialmente quando soluções de pagamento baseadas na tecnologia QR já existem e estão sendo usadas. Embora a adoção desse tipo de pagamento seja limitada, a tecnologia deve crescer com a maior aceitação dos códigos QR.

E o que as empresas e pessoas podem fazer para diminuir os riscos dos códigos QR? O passo mais importante é conseguir definir exatamente qual link ou recurso o código QR pretende acessar quando for lido. Alguns (nem todos) aplicativos de leitura de códigos QR oferecem essa informação e –ainda mais importante – perguntam se o usuário realmente quer realizar a ação. Com isso, o usuário tem a oportunidade de avaliar a validade do link antes de ativar o código.

Para smartphones corporativos, uma alternativa é a criptografia para proteger dados sensíveis, mesmo que um código QR malicioso consiga instalar um Cavalo de Tróia no dispositivo, e bloquear o acesso do hacker.

Concluindo, os riscos apresentados pelos códigos QR são uma nova variante das tradicionais armadilhas e ataques dos hackers. As noções básicas de segurança ainda são válidas – tenha cuidado com os códigos que você lê e use a criptografia de dados sempre que possível. Ou, em poucas palavras: pense bem antes de usar os códigos QR.
 

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.