QR codes: 5 táticas usadas por criminosos para tentar te enganar

O QR Code vem sendo utilizado como uma opção de pagamento sem necessidade de contato físico principalmente durante a pandemia da covid-19. Porém, como qualquer tecnologia que se torna popular, criminosos começam a enxergar na tecnologia oportunidades para aplicar golpes em vítimas.

• Apple lança atualização de segurança para correção de falhas de dia zero
• O que é Phishing?

QR é um acrônimo para Quick Response ("resposta rápida", em tradução livre), e são códigos projetados para serem lidos e interpretados rapidamente. Neles, no máximo 4.296 caracteres alfanuméricos podem ser armazenados em uma matriz, embora usados normalmente pelo público comportem menos dados por uma questão de compatibilidade com câmeras do telefone.

Um QR Code, ao ser escaneado, pode abrir páginas da web, baixar arquivos, adicionar um contato, conectar-se a uma rede Wi-Fi e até efetuar pagamentos, entre muitos outros. Por conta dessa versatilidade, os criminosos enxergam na tecnologia uma forma de propagar seus golpes.

“Dada a versatilidade dos QR Codes e o grande número de ações que podem ser realizadas, o leque de possibilidades para um cibercriminoso é extremamente amplo. Se somarmos a isso o número de QR Codes que encontramos em bares, restaurantes, lojas, hotéis, aeroportos e até plataformas de pagamento e atestados de saúde, a superfície de ataque se expande ainda mais”, explica Cecilia Pastorino, Pesquisadora de Segurança da informação da ESET América Latina.

Tipos de golpes com QR Code

Como os golpes com QR Code são um perigo real em 2022, a ESET compartilhou com o Canaltech uma lista com os principais usos da tecnologia por criminosos. Confira a seguir:

Redirecionar o usuário para um site malicioso para roubar informações

Muitos QR Codes, principalmente encontrados em anúncios em vias públicas ou nas áreas de atendimento ao cliente de instituições financeiras, podem redirecionar os usuários para sites maliciosos, realizando o download de ameaças para o dispositivo utilizado ou mesmo roubo de informações presentes no celular.

Executar ações no dispositivo da vítima

Os QR Codes podem gerar ações diretamente no dispositivo leitor, essas ações dependerão do aplicativo que está lendo, portanto, você deve prestar atenção aos aplicativos falsos de leitores de QR. No entanto, existem algumas ações básicas que qualquer leitor de QR é capaz de interpretar. Por exemplo, conectar o dispositivo a uma rede Wi-Fi e enviar um e-mail ou SMS com um texto predefinido.

Embora essas ações não sejam maliciosas, elas podem ser usadas por um invasor para conectar um computador a uma rede comprometida, enviar mensagens em nome da vítima ou agendar um contato que pode confundir a vítima mais tarde. É importante prestar atenção e tomar cuidado.

Desviar um pagamento ou fazer pedidos de dinheiro

A maioria dos aplicativos financeiros digitais, e também sistemas como o PIX, permitem que os pagamentos sejam feitos por meio de QR Code que contêm os dados do destinatário do dinheiro, e por isso criminosos estão gerando documetnos que, quando escaneados, mande o dinheiro para eles.

É importante sempre estar atento as informações do destinatário do dinheiro para ter certeza que está realizando a transação para o lugar correto.

Roubar a identidade do usuário ou o acesso a um aplicativo

Muitos QR codes são usados como um certificado para verificar as informações de uma pessoa, como identidade ou passes de saúde. Nesses casos, os QR codes contêm informações tão confidenciais quanto as encontradas em um documento de identidade ou registro médico, que um invasor poderia obter facilmente digitalizando o QR code.

Por outro lado, muitos aplicativos (como WhatsApp, Telegram ou Discord) usam os QR Codes para autenticar a sessão de um usuário e permitir que ele acesse sua conta. Invasores podem utilizar essas funções, então, para tomar controle dos perfis.

Como se proteger de golpes com QR Code

Embora preocupantes, a ESET afirma que se os usuários prestarem atenção há como se prevenir desse tipo de golpe, principalmente se seguir algumas regras de segurança. Confira a seguir:

• No caso de pagamentos com QR e operações financeiras, verifique sempre se a transação foi realizada com sucesso. Confirme a operação tanto no dispositivo do comprador como no dispositivo do vendedor e certifique-se de que recebeu o dinheiro corretamente;
• Se você tiver QR Codes disponíveis ao público, verifique regularmente se eles não foram adulterados;
• Ao gerar um QR Code, use um serviço confiável para isso. Além disso, verifique se o QR obtido pelo serviço está correto e se ele realiza a ação desejada;
• Desative a opção de realizar ações automáticas ao ler um QR Code, como acessar um site, baixar um arquivo ou conectar-se a uma rede Wi-Fi;
• Sempre verifique a ação antes de executá-la. Verifique se a URL está correto, se o arquivo baixado, os dados obtidos ou a ação realizada estão conforme o esperado;
• Não compartilhe QR Code com informações confidenciais, como aquelas usadas para acessar aplicativos ou aquelas incluídas em documentos e atestados de saúde. Evite tirar fotos deles, não os compartilhe e guarde-os com segurança;
• Mantenha sempre seus dispositivos protegidos, com antivírus e outras soluções de segurança.