O que é quishing?
O phishing de QR, também conhecido como "quishing", é um crime cibernético que explora a popularidade dos códigos QR. Nesse golpe, os criminosos cibernéticos criam códigos QR maliciosos que, quando escaneados, levam a sites fraudulentos ou solicitam o download de softwares nocivos. Como as pessoas usam cada vez mais códigos QR para várias finalidades, como acessar menus ou fazer pagamentos, elas podem, sem saber, escanear esses códigos enganosos, colocando suas informações pessoais em risco.
Esse comportamento foi destacado durante o Super Bowl de 2022, quando o anúncio inovador de código QR da Coinbase levou a um aumento significativo nos downloads de aplicativos. No entanto, isso também levantou preocupações na comunidade de segurança cibernética, especialmente à luz dos recentes golpes de QR de criptomoedas, em que os golpistas usaram códigos QR para manipular as vítimas para que retirassem dinheiro de suas contas.
O termo "quishing" combina códigos QR e phishing, indicando um método em que agentes mal-intencionados criam códigos QR falsos para direcionar os usuários a sites falsos, roubar informações ou instalar malware em seus dispositivos. O objetivo é enganar as pessoas, fazendo-as acreditar que estão interagindo com um código QR inofensivo ou necessário, enquanto a verdadeira intenção é acessar e roubar informações pessoais e financeiras.
O que é um código QR?
Os códigos QR, ou códigos de resposta rápida, são códigos de barras bidimensionais que podem armazenar uma grande quantidade de dados e ser lidos rapidamente por smartphones ou scanners de código de barras. Originalmente inventados por um fabricante de automóveis japonês em 1994 para melhorar a eficiência na fabricação, os códigos QR tiveram um aumento no uso nos últimos anos.
Eles se tornaram particularmente populares durante a pandemia como uma forma de manter a continuidade dos negócios e, ao mesmo tempo, aderir às regras de distanciamento social. Como resultado, os consumidores se tornaram mais acostumados a escanear códigos QR, com estudos prevendo que mais de 100 milhões de usuários nos EUA usarão seus telefones para escanear códigos QR até 2025.
A versatilidade dos códigos QR, que podem ser escaneados tanto em telas quanto em papel, levou à sua ampla adoção em vários setores, incluindo processamento de pagamentos, marketing e publicidade. Atualmente, os códigos QR são comumente encontrados em espaços públicos, como outdoors e restaurantes, bem como em comunicações digitais, como mensagens de texto, mídias sociais e e-mails.
Códigos QR estáticos ou dinâmicos
Os códigos QR podem ser categorizados em dois tipos principais com base em sua flexibilidade de dados: estáticos e dinâmicos.
Os códigos QR estáticos são fixos e não podem ser alterados depois de criados. Eles são normalmente usados para compartilhar informações estáticas, como o URL de um site, detalhes de contato ou uma senha de Wi-Fi.
Os códigos QR dinâmicos, por outro lado, são mais flexíveis, pois as informações que eles codificam podem ser atualizadas ou alteradas sem mudar a aparência do código. Eles contêm um URL exclusivo que direciona os usuários para um servidor onde as informações são armazenadas. Essa adaptabilidade os torna ideais para situações em que o conteúdo precisa de atualizações frequentes, como informações sobre eventos, ofertas promocionais ou rastreamento de estoque em tempo real. No entanto, essa mesma flexibilidade também representa um risco de segurança, pois os golpistas podem explorar códigos QR dinâmicos alterando sua fonte para redirecionar os usuários a sites mal-intencionados.
O que é phishing?
O phishing é um método amplamente usado pelos criminosos cibernéticos para acessar dados valiosos por meio de ataques de engenharia social, principalmente por meio de e-mails. Um e-mail típico de phishing contém um link ou anexo que induz o usuário a clicar ou fazer download dele, com o objetivo de roubar informações confidenciais, como detalhes financeiros ou credenciais de login da empresa.
No entanto, como os invasores buscam continuamente técnicas mais eficazes, surgiram novas táticas de phishing, incluindo vishing (phishing por voz), smishing (phishing por SMS) e quishing (phishing por QR). Essas variações exploram diferentes canais de comunicação para realizar práticas enganosas semelhantes, com o quishing aproveitando especificamente a popularidade e a conveniência dos códigos QR para induzir os usuários a revelar suas informações pessoais.
Como funciona o quishing?
O quishing é um tipo de ataque de phishing que utiliza códigos QR para enganar as pessoas e fazê-las visitar sites nocivos ou baixar arquivos contendo malware. Os códigos QR podem hospedar várias fontes, como links, documentos e portais de pagamento, o que os torna uma ferramenta versátil para os criminosos cibernéticos. Esses códigos podem ser manipulados para conter links maliciosos, documentos com vírus ou portais de pagamento falsos. Como o conteúdo por trás de um código QR não é visível quando ele é exibido como uma imagem, ele é um meio ideal para os golpistas burlarem as medidas de segurança incorporando-o em e-mails.
Um ataque de quishing geralmente começa com um criminoso cibernético criando códigos QR que redirecionam para uma página de login fraudulenta para coletar as credenciais das vítimas ou para um site que faz o download automático de malware ao ser escaneado. Esses códigos QR maliciosos podem ser inseridos em e-mails como imagens ou anexos, ou podem ser colocados em áreas públicas onde as pessoas provavelmente os escanearão. Depois que o código QR é escaneado, as vítimas podem ser solicitadas a inserir informações confidenciais, como detalhes de login ou informações bancárias, ou podem fazer o download involuntário de softwares ou aplicativos prejudiciais. Em alguns casos, o download de conteúdo malicioso pode ocorrer automaticamente logo após o código ser escaneado, comprometendo ainda mais o dispositivo da vítima.
Entendendo o QRLJacking: Um estudo de caso sobre quishing
O QRLJacking é uma forma sofisticada de quishing que visa especificamente os sistemas de QRL (Quick Response Login). O QRL é um método de autenticação fácil de usar que permite que os usuários façam login em sites, aplicativos ou serviços digitais por meio da leitura de um código QR com o smartphone. Esse método elimina a necessidade de lembrar senhas complexas, oferecendo uma alternativa conveniente para os usuários.
No entanto, essa conveniência também introduz uma vulnerabilidade que os criminosos cibernéticos aprenderam a explorar. Em um ataque de QRLJacking, os hackers iniciam uma sessão no site ou aplicativo visado e clonam o código QR legítimo. Em seguida, eles manipulam o código clonado redirecionando-o para seu próprio servidor e o incorporam em uma página de login falsa que imita a original. O código QR malicioso é distribuído por e-mails ou outros canais, enganando os usuários para que o escaneiem para fazer login.
O perigo do QRLJacking fica evidente quando a autenticação multifator não está ativada. Assim que a vítima escaneia o código QR manipulado, o invasor obtém acesso imediato à conta da vítima. Um exemplo notável desse ataque ocorreu com o ING Bank, cujo aplicativo permitia que os clientes fizessem login em um segundo dispositivo digitalizando um código QR. Os criminosos cibernéticos exploraram esse recurso, adulterando códigos QR legítimos dentro do aplicativo. Os usuários involuntários que foram vítimas do golpe descobriram que quantias significativas de dinheiro haviam desaparecido de suas contas.
Como você pode detectar um ataque de quishing?
A detecção de um ataque de quishing pode ser um desafio devido à natureza inerente dos códigos QR, que ocultam seu conteúdo até serem escaneados. Diferentemente dos ataques de phishing tradicionais, os e-mails de quishing contêm códigos QR como imagens simples ou dentro de anexos com extensões não suspeitas, o que permite que eles contornem detectores de malware e filtros de e-mail. Isso significa que eles podem escapar da detecção e não serem relegados à pasta de spam, deixando as pessoas vulneráveis às táticas de engenharia social.
O atrativo dos códigos QR para os golpistas está em sua capacidade de despertar a curiosidade e explorar emoções como o medo e a urgência. Esses gatilhos emocionais podem levar vítimas desavisadas a escanear códigos QR maliciosos destinados a atividades fraudulentas, como o pagamento de contas ou multas falsas. A conveniência e a velocidade dos códigos QR são exploradas para facilitar esses golpes.
Para se proteger contra fraudes de código QR, é importante estar atento e procurar certos sinais antes de escanear um código QR:
- Códigos QR inesperados ou não solicitados: Tenha cuidado com os códigos QR que aparecem em e-mails ou mensagens não solicitados, especialmente se eles solicitarem que você tome medidas imediatas.
- Falta de contexto ou explicação: Os códigos QR legítimos geralmente são acompanhados de explicações claras sobre sua finalidade. Desconfie de códigos que não tenham contexto ou uma fonte confiável.
- Remetente suspeito: Verifique se há sinais de ilegitimidade no endereço de e-mail ou nas informações de contato do remetente, como erros de ortografia ou nomes de domínio incomuns.
- Urgência ou pressão: os golpistas geralmente criam um senso de urgência para solicitar uma ação rápida. Seja cético em relação a mensagens que o pressionam a escanear um código QR imediatamente.
- Verifique a fonte: Se possível, verifique a legitimidade do código QR entrando em contato com o suposto remetente pelos canais oficiais.
- Use um scanner de código QR seguro: Alguns aplicativos de scanner de código QR oferecem recursos de segurança que verificam a segurança do link antes de abri-lo. Considere usar um aplicativo desse tipo para adicionar uma camada extra de proteção.
Ao estar ciente desses sinais e ser cauteloso, você pode reduzir o risco de ser vítima de um ataque de quishing e proteger suas informações confidenciais contra o comprometimento.
É assim que você pode se proteger contra quishing
Para se proteger contra ataques de quishing, é importante combinar estratégias gerais de prevenção de phishing com medidas especificamente adaptadas aos desafios exclusivos apresentados pelos códigos QR:
- Verifique a fonte do QR: Tenha cuidado ao escanear códigos QR, principalmente de fontes desconhecidas ou que prometem ofertas boas demais para serem verdadeiras. Se o código vier de uma fonte aparentemente oficial, de um amigo ou de um colega, verifique sua autenticidade diretamente com eles ou visite o site oficial.
- Use um leitor de código QR confiável: Embora a maioria dos smartphones tenha recursos integrados de leitura de QR, se você optar por um aplicativo de terceiros, verifique se ele é confiável. Desconfie de atualizações fraudulentas para aplicativos de leitura de QR, pois elas já foram conhecidas por distribuir malware no passado.
- Visualize o URL de destino: Se o seu aplicativo de escaneamento permitir, visualize o link para o qual o código QR o direciona antes de acessá-lo. Essa precaução ajuda a proteger contra códigos QR que fazem download automático de malware ao serem escaneados.
- Seja cauteloso com as informações pessoais: Depois de escanear um código QR, fique atento quando for solicitado a inserir informações pessoais em uma página vinculada. Verifique novamente o logotipo e o URL completo do site e, se possível, digite manualmente o URL original em seu navegador em vez de usar o link fornecido pelo código QR.
- Ative a autenticação de dois fatores: A adição dessa camada extra de segurança pode impedir o acesso não autorizado às suas contas, mesmo que um criminoso cibernético obtenha suas credenciais. Tenha cuidado ao aceitar notificações de autenticação em seu telefone, a menos que tenha iniciado uma tentativa de acesso à conta.
- Mantenha-se informado com o treinamento de conscientização sobre segurança: Atualizar regularmente seu conhecimento sobre táticas de criminosos cibernéticos e como responder a possíveis ataques pode mantê-lo à frente das ameaças.
Seguindo essas recomendações, você pode aprimorar sua defesa contra ataques de quishing e proteger suas informações confidenciais para que não caiam em mãos erradas.