165 views 7 mins

Dicas de segurança para o perigo dos QR Codes

em Tecnologia
quarta-feira, 03 de agosto de 2022

É só sair de casa que encontramos um QR Code em algum lugar. Eles estão em anúncios, restaurantes, academias agências de viagem, cafeterias, supermercados, hospitais, lojas e até mesmo em farmácias. A pandemia da COVID-19 reviveu essa forma de oferecer informação passando uma sensação de segurança.
QR Codes são um tipo de código de barras bidimensional que contém dados geralmente para localizadores, identificadores ou rastreadores. Um smartphone ou qualquer dispositivo que possui uma câmera pode facilmente ler e converter o código em informações para o usuário final, como fornecer uma URL que direciona para um site ou aplicativo.
Nos últimos dois anos, os consumidores aumentaram suas atividades digitais e aprenderam a tomar mais cuidado com fraudes online e por e-mail, levando os fraudadores a buscar novas formas de cometer crimes. A nova modalidade estava literalmente na mesa: os QR Codes.
E não servem apenas como meio de conhecer serviços ou pratos para escolher em um restaurante, mas também são usados para fazer pagamentos e cobranças. São até um meio de identificação do Governo para saber quais e quantas doses de vacinação a população recebeu.
Como os QR Codes são simples de gerar e utilizar, os consumidores não param para pensar no risco que podem significar para sua segurança. E essa simplicidade faz com que os cibercriminosos utilizem os códigos para ter acesso aos smartphones, informações pessoais e até mesmo bancárias.
Em janeiro de 2022, o FBI emitiu um aviso dizendo que cibercriminosos estavam manipulando QR Codes legítimos para redirecionar as vítimas para sites maliciosos, que acabavam roubando dados financeiros de login. E poucas semanas após o alerta, durante o maior jogo de futebol americano do ano, mais de 20 milhões de pessoas escaneram um único e misterioso QR Code em um comercial de uma empresa não identificada, tudo no espaço de um minuto.
Dessa forma, os golpistas podem criar sites falsos onde informam que, por exemplo, para acesso à uma rede de internet pública por 30 minutos é necessário  preencher um formulário com e-mail e data de nascimento. E o fato de só solicitarem essas informações específicas, faz com que o consumidor acredite que se trata de um site sério, porém, fornecerá informações do próprio smartphone.
Com alguns truques adicionais de engenharia social, o invasor pode levar as coisas ainda mais longe. Ao usar o ataque phishing no dispositivo, podem falsificar o bloqueador de senha no dispositivo da vítima, que ao inserir nome de usuário e senha, permite que o invasor obtenha acesso a todas as senhas do usuário. 
É por esse motivo que Len Noe, Technical Evangelist e White Hat Hacker da CyberArk, líder mundial em segurança de identidade, recomenda sete maneiras para que as pessoas possam se proteger.

  1. Não escanear! Se alguma coisa parece errada, o ideal é não escanear o QR Code, só acessar o site diretamente. Todo código verdadeiro deveria ter uma URL associada embaixo para dar a opção ao usuário de navegar por lá. Se estiver faltando, pode ser duvidoso.
  2. Não ter pressa. Antes de digitalizar qualquer código, é importante se perguntar se sabe quem inseriu o QR Code ali, e se confia nessa pessoa ou empresa. Faz sentido usar esse código nesta situação?
  3. Inspecionar de perto as URLs dos QR Codes. Depois de digitalizar o QR Code, é essencial verificar o link que o direciona antes de continuar o acesso. Também é importante checar se corresponde à organização associada, se parece suspeito ou inclui erros ortográficos ou erros de digitação estranhos. Por exemplo, nos golpes de parquímetros do Texas, parte do URL usado era “passportlab.xyz”, visivelmente não era um site oficial do governo da cidade. Também é possível fazer uma pesquisa rápida na web, procurando pela URL em questão, para confirmar se o QR Code é autêntico.
  4. Procurar sinais de alteração física. Essa dica é importante especialmente em locais onde os QR Codes são utilizados com frequência, como restaurantes. Se tiver um adesivo de QR Code colado em cima de outro código, é motivo para desconfiar.
  5. Nunca baixar apps de QR Codes. Pessoas mal intencionadas podem facilmente clonar e falsificar sites. Para baixar um aplicativo, o caminho ideal é acessar a loja oficial de aplicativos do sistema operacional do dispositivo e fazer o download diretamente por lá.
  6. Não fazer pagamentos eletrônicos por meio de QR Codes. É melhor usar o aplicativo oficial ou acessar o site com o domínio oficial para fazer login por lá.
  7. Ativar a autenticação multifatorial (MFA). Isso ajuda a proteger contas confidenciais, como aplicativos bancários, de e-mails e redes sociais. Com outra camada de autenticação, um cibercriminoso não conseguirá acessar os dados da vítima apenas com o nome de usuário e senha.
    Quando o assunto é QR Code, o melhor conselho é sempre usar o bom senso. Se fosse um e-mail, seria confiável clicar nele? Os códigos estão se tornando um dos métodos de ataque phishing favoritos dos invasores, e as mesmas regras se aplicam. Prosseguir com cautela e aplicar os mesmos critérios de segurança que aplicaria a qualquer coisa no mundo digital.
    Escanear QR Codes com segurança, ou melhor ainda, não escanear! Para aumentar a segurança de computadores e redes, ou para saber mais sobre segurança cibernética, a CyberArk possui programas e documentações com mais informações detalhadas.