É seguro ler QR Code na rua? Veja por que você não deve escanear qualquer código
Por Clara Pitanga • Editado por Bruno De Blasi |
Recentemente, vídeos divertidos de pessoas escaneando QR Codes que levam a conteúdos engraçados em locais públicos viralizaram nas redes sociais. No entanto, essa prática, apesar de parecer inofensiva, esconde um risco digital significativo.
- Brasil está no topo do ranking mundial de vítimas de fraudes digitais
- Vírus "finge ser humano" para enganar seu banco; conheça o Herodotus
Cibercriminosos podem se aproveitar dessa “brincadeira” para aplicar golpes para roubar informações e espalhar outras ameaças.
Confira alguns vídeos que viralizaram:
Como funcionam os golpes com QR Code?
Os golpes com QR Codes costumam usar táticas de engenharia social para enganar as vítimas e, assim, direcioná-las para sites suspeitos que, em alguns casos, podem levar ao roubo de dados, distribuir malwares ou até sequestrar sessões de apps.
A seguir, listamos os principais perigos relacionados a escanear um QR Code aleatório na rua, que podem envolver:
- Phishing
- Golpe do Pix
- Roubo de credenciais de redes sociais
- Instalação de vírus ou malwares
- Conexões a rede maliciosas
- Direcionamento para conteúdo impróprio
1. Phishing
QR Codes podem direcionar o usuário para sites diversos e essa pode ser uma armadilha fácil para roubo de dados.
Por exemplo, se um QR Code falso que oferece "Wi-Fi Grátis" for exposto em um local público, ele pode ser usado para encaminhar a vítima para uma página que imita um site legítimo. Então, ao solicitar o e-mail, senhas ou credenciais bancárias, o golpista pode capturar essas informações.
Quando a vítima insere os dados no site falso, entrega suas credenciais diretamente ao criminoso, que pode usá-las para acessar redes sociais e aplicativos de banco, causando prejuízos consideráveis.
2. Golpe do Pix
Um risco que também é bastante comum são as fraudes de pagamento. Por meio de QR Codes falsos, pessoas mal intencionadas podem induzir as vítimas a fazer transferências para contas erradas.
Por exemplo, se um QR Code falso for colado sobre o código Pix verdadeiro de um estabelecimento, máquina de autoatendimento, ou, ainda, de um cartaz de doação, a vítima, que acredita estar pagando pelo serviço ou fazendo uma doação, é enganada. Assim, o dinheiro é enviado diretamente para a conta do golpista.
3. Roubo de credenciais de redes sociais
QR Codes também são comumente usados para autenticar o login de usuários e permitir acesso a sessões, como o WhatsApp Web, por exemplo.
Nessas implementações, o QR carrega um token temporário que, se escaneado por outra pessoa, pode permitir o acesso à conta e, consequentemente, a tomada de controle do perfil.
4. Instalação de vírus ou malwares
Outro risco que os QR Codes falsos podem trazer é o download automático de arquivos maliciosos, contendo malwares potencialmente perigosos. Quando escaneado, o código fake pode baixar um vírus para o celular, que pode comprometer o dispositivo.
Em dispositivos Android, inclusive, criminosos podem tentar fazer com que a vítima instale um arquivo APK de fora da loja oficial de aplicativos do Google, que pode ser um spyware ou ransomware.
Assim, eles podem rastrear a atividade do usuário de forma remota, roubando senhas, fotos e outros dados pessoais. Ainda, podem até bloquear arquivos do celular e exigir um pagamento para liberá-los.
5. Conexões a rede maliciosas
Nesse caso em específico, o QR Code é real e funciona. A grande questão é que ele pode ser programado para conectar seu dispositivo automaticamente a uma rede Wi-Fi que, na verdade, se trata de um ponto de acesso falso controlado por uma pessoal mal intencionada, que pode monitorar todo o tráfego de internet do seu celular e roubar informações sigilosas.
Assim, o agente malicioso consegue capturar senhas, dados bancários e outras informações sensíveis em tempo real, o que pode ser bastante perigoso.
6. Direcionamento para conteúdo impróprio
Este é o risco "menor", mas problemático da mesma forma. Nesta situação, o código poderia levar o usuário a sites com conteúdo ofensivo, violento ou pornográfico.
Embora não roube dados ou informações sensíveis, pode causar grande constrangimento público. Além disso, essa prática também pode ser vista como uma forma de assédio.
Leia mais do Canaltech:
- Chrome vai "barrar" acesso a sites sem HTTPS; entenda a mudança
- Polícia usa IA para "decifrar" comunicação de cibercriminosos
- Falha grave em CPUs AMD e Intel permite acesso a informações sensíveis
Vídeo: O que É e COMO funciona um QR CODE?