QR Code: 5 maneiras do recursos ser explorado por golpistas
33giga
A utilização do QR Code teve uma explosão com a pandemia, em grande parte devido à sua contribuição ao reduzir a necessidade de contato com superfícies que possam ter sido manipuladas por terceiros, minimizando assim os riscos de contágio. Atualmente, estão sendo utilizados em diversos setores e de diferentes formas, por exemplo, para exibir o cardápio de um restaurante, meios de pagamento, solicitação de serviços. No entanto, como costuma acontecer com qualquer tecnologia que se torna popular, ela também chamou a atenção de cibercriminosos.
QR é um acrônimo para Quick Response, em português "resposta rápida". São códigos projetados para serem lidos e interpretados rapidamente. Neles, no máximo 4.296 caracteres alfanuméricos podem ser armazenados em uma matriz – embora as versões de uso público, em geral, tendam a ser matrizes menores para serem facilmente capturadas pela câmera do telefone.
A estrutura do QR Code permite que ele seja decodificado por aplicativos que funcionam como leitores usando, por exemplo, a câmera do telefone. A partir dele, o usuário pode abrir uma página web, baixar um arquivo, adicionar um contato, conectar-se a uma rede Wi-Fi e até efetuar pagamentos. O recurso é muito versátil, podendo ser personalizado com logotipos, por exemplo. Também existem versões dinâmicas que permitem alterar o conteúdo ou ação do código a qualquer momento.
“Dada a versatilidade dos QR Codes e o grande número de ações que podem ser realizadas, o leque de possibilidades para um cibercriminoso é extremamente amplo. Se somarmos a isso o número que encontramos em bares, restaurantes, lojas, hotéis, aeroportos e até plataformas de pagamento e atestados de saúde, a superfície de ataque se expande ainda mais”, alerta Cecilia Pastorino, pesquisadora de segurança da informação da ESET América Latina.
Alguns exemplos de ações maliciosas que os cibercriminosos podem realizar com QR Code são:
– Redirecionar o usuário para um site malicioso para roubar informações: assim como os invasores empregam técnicas de malvertising ou BlackHat SEO para direcionar as vítimas para sites fraudulentos, eles podem fazer o mesmo com QR Code. Principalmente se forem encontrados em anúncios em vias públicas ou nas áreas de atendimento ao cliente de instituições financeiras. Recentemente, nos Estados Unidos, criminosos colocaram adesivos com códigos falsos em parquímetros públicos, que levavam as vítimas a um site para supostamente efetuar o pagamento.
– Baixar um arquivo malicioso no equipamento da vítima: muitos bares e restaurantes utilizam QR Code para o usuário baixar um arquivo PDF com o cardápio ou instalar um aplicativo para fazer o pedido. Nesse e em contextos semelhantes, um invasor pode adulterar o código para atrair o usuário a baixar um documento malicioso ou instalar um programa não autorizado.
– Executar ações no dispositivo da vítima: os QR codes podem gerar ações diretamente no dispositivo leitor. Essas atividades dependerão do aplicativo que está lendo. Portanto, você deve prestar atenção aos falsos apps. Entretanto, mesmo os programas fakes podem interpretar ações básicas, como conectar o dispositivo a uma rede Wi-Fi ou salvar um contato no dispositivo. Embora essas atividades não sejam maliciosas, elas podem ser usadas por um invasor para conectar um computador a uma rede comprometida, enviar mensagens em nome da vítima ou agendar um contato para engano posterior.
– Desviar um pagamento ou fazer pedidos de dinheiro: a maioria dos aplicativos financeiros digitais permite que os pagamentos sejam feitos por meio de QR Code que contêm os dados do destinatário do dinheiro. Muitas lojas deixam esses códigos na frente de seus clientes para facilitar a operação. Um invasor pode modificá-lo com seus próprios dados e, assim, receber as cobranças em sua conta.
– Roubar a identidade do usuário ou o acesso a um aplicativo: muitos QR Codes são usados como um certificado para verificar as informações de uma pessoa, como identidade ou passes de saúde. Nesses casos, os códigos contêm informações tão confidenciais quanto as encontradas em um documento de identidade ou registro médico, que um invasor poderia obter facilmente digitalizando-o. Por outro lado, aplicativos como Telegram e Discord usam o recurso para autenticar a sessão de um usuário e permitir que ele acesse sua conta. Como já aconteceu com o WhatsApp, ataques como QRLjacking podem enganar um usuário ao se passar por um serviço e fazer com que ele escaneie o QR Code fornecido pelo invasor.
As dicas para usar QR Code com segurança são:
– No caso de pagamentos com QR Code e operações financeiras, verifique sempre se a transação foi realizada com sucesso. Confirme a ação tanto no dispositivo do comprador como no aparelho do vendedor e certifique-se de que recebeu o dinheiro corretamente.
– Se você tiver QR Codes disponíveis ao público, verifique regularmente se eles não foram adulterados.
– Ao gerar um QR Code, use um serviço confiável para isso. Além disso, verifique se o código obtido está correto e se ele realiza a ação desejada.
– Desative a opção de realizar ações automáticas ao ler um QR Code, como acessar um site, baixar um arquivo ou conectar-se a uma rede Wi-Fi.
– Sempre verifique a ação antes de executá-la. Veja se o URL está correto, se o arquivo baixado, os dados obtidos ou a ação realizada estão conforme o esperado.
– Não compartilhe QR Code com informações confidenciais, como aquelas usadas para acessar aplicativos ou aquelas incluídas em documentos e atestados de saúde. Evite tirar fotos deles, não os divulgue e guarde-os com segurança.