O que é quishing?
O phishing com QR, também conhecido como ‘quishing,’ é um cibercrime que aproveita a popularidade dos códigos QR. Nesse golpe, os cibercriminosos criam códigos QR maliciosos que, quando escaneados, levam a sites fraudulentos ou iniciam downloads de softwares prejudiciais. Com o uso crescente de códigos QR para diversos fins, como acessar cardápios ou fazer pagamentos, as pessoas podem escanear esses códigos enganosos sem saber, colocando suas informações pessoais em risco.
Esse comportamento foi destacado durante o Super Bowl de 2022, quando o anúncio inovador com código QR da Coinbase levou a um aumento significativo nos downloads do aplicativo. No entanto, também levantou preocupações na comunidade de cibersegurança, especialmente à luz dos recentes golpes envolvendo QR Codes de Criptomoedas, onde golpistas usaram códigos QR para manipular as vítimas a retirarem dinheiro de suas contas.
O termo “quishing” combina códigos QR e phishing, indicando um método onde atores mal-intencionados criam códigos QR falsos para direcionar os usuários a sites falsificados, roubar informações ou instalar malware em seus dispositivos. O objetivo é enganar as pessoas fazendo-as acreditar que estão interagindo com um código QR inofensivo ou necessário, enquanto a verdadeira intenção é acessar e roubar informações pessoais e financeiras.
O que é um código QR?
Os códigos QR, ou códigos de Resposta Rápida, são códigos de barras bidimensionais que podem armazenar uma grande quantidade de dados e ser lidos rapidamente por smartphones ou scanners de código de barras. Inicialmente inventados por um fabricante de automóveis japonês em 1994 para melhorar a eficiência na fabricação, os códigos QR viram um aumento no uso nos últimos anos.
Eles se tornaram particularmente populares durante a pandemia como forma de manter a continuidade dos negócios enquanto se aderiam às regras de distanciamento social. Como resultado, os consumidores se acostumaram a escanear códigos QR, com estudos prevendo que mais de 100 milhões de usuários nos EUA usarão seus telefones para escanear códigos QR até 2025.
A versatilidade dos códigos QR, que podem ser escaneados tanto de telas quanto de papel, levou à sua ampla adoção em várias indústrias, incluindo processamento de pagamentos, marketing e publicidade. Hoje, os códigos QR são comumente encontrados em espaços públicos, como outdoors e restaurantes, assim como em comunicações digitais, como mensagens de texto, mídia social e e-mails.
QR codes estáticos vs dinâmicos
Os códigos QR podem ser categorizados em dois tipos principais com base em sua flexibilidade de dados: estáticos e dinâmicos.
Códigos QR estáticos são fixos e não podem ser alterados uma vez criados. São comumente usados para compartilhar informações estáticas como um URL de website, detalhes de contato ou uma senha de Wi-Fi.
Códigos QR dinâmicos, em contraste, são mais flexíveis, pois as informações que eles codificam podem ser atualizadas ou alteradas sem mudar a aparência do código. Eles contêm um URL único que direciona os usuários a um servidor onde as informações são armazenadas. Essa adaptabilidade os torna ideais para situações onde o conteúdo precisa de atualizações frequentes, como informações de eventos, ofertas promocionais ou rastreamento de inventário em tempo real. No entanto, essa mesma flexibilidade também representa um risco de segurança, pois golpistas podem explorar códigos QR dinâmicos alterando sua origem para redirecionar usuários a sites maliciosos.
O que é phishing?
Phishing é um método amplamente usado por cibercriminosos para acessar dados valiosos através de ataques de engenharia social, principalmente por emails. Um típico email de phishing contém um link ou anexo, atraindo o usuário a clicar ou baixá-lo, com o objetivo de roubar informações sensíveis, como dados financeiros ou credenciais de login corporativo.
No entanto, à medida que os invasores buscam continuamente técnicas mais eficazes, novas táticas de phishing surgiram, incluindo vishing (phishing por voz), smishing (phishing por SMS) e quishing (QR phishing). Essas variações exploram diferentes canais de comunicação para realizar práticas enganosas semelhantes, com o quishing especificamente aproveitando a popularidade e conveniência dos códigos QR para enganar os usuários a revelarem suas informações pessoais.
Como funciona o quishing?
Quishing é um tipo de ataque de phishing que utiliza códigos QR para enganar indivíduos a visitar sites prejudiciais ou baixar arquivos contendo malware. Os códigos QR podem hospedar várias fontes, como links, documentos e portais de pagamento, tornando-os uma ferramenta versátil para cibercriminosos. Esses códigos podem ser manipulados para conter links maliciosos, documentos infectados por vírus ou portais de pagamento falsos. Como o conteúdo por trás de um código QR não é visível quando exibido como imagem, ele proporciona um meio ideal para golpistas evitarem medidas de segurança ao incorporá-los em e-mails.
Um ataque de quishing geralmente começa com um cibercriminoso criando códigos QR que redirecionam para uma página de login fraudulenta para colher as credenciais das vítimas ou para um site que baixa malware automaticamente ao ser escaneado. Esses códigos QR maliciosos podem ser inseridos em e-mails como imagens ou anexos, ou podem ser colocados em áreas públicas onde as pessoas têm probabilidade de escaneá-los. Uma vez que o código QR é escaneado, as vítimas podem ser solicitadas a inserir informações sensíveis, como detalhes de login ou bancários, ou podem inocentemente baixar software ou aplicativos prejudiciais. Em alguns casos, o download de conteúdo malicioso pode ocorrer automaticamente logo após o código ser escaneado, comprometendo ainda mais o dispositivo da vítima.
Entendendo o QRLJacking: Um estudo de caso sobre quishing
O QRLJacking é uma forma sofisticada de quishing que visa especificamente sistemas de Login com Resposta Rápida (QRL). O QRL é um método de autenticação amigável ao usuário que permite aos usuários fazer login em sites, aplicativos ou serviços digitais escaneando um código QR com seu smartphone. Este método elimina a necessidade de lembrar senhas complexas, oferecendo uma alternativa conveniente para os usuários.
No entanto, essa conveniência também introduz uma vulnerabilidade que cibercriminosos aprenderam a explorar. Em um ataque de QRLJacking, hackers iniciam uma sessão no website ou aplicativo alvo e clonam o código QR legítimo. Eles então manipulam o código clonado redirecionando-o para seu próprio servidor e o incorporam em uma página de login falsificada que imita a original. O código QR malicioso é distribuído por e-mails ou outros canais, enganando os usuários a escaneá-lo para fazer login.
O perigo do QRLJacking torna-se aparente quando a autenticação multifatorial não está ativada. Assim que a vítima escaneia o código QR manipulado, o atacante ganha acesso imediato à conta da vítima. Um exemplo notável desse ataque ocorreu com o ING Bank, cujo aplicativo permitia que os clientes fizessem login em um segundo dispositivo escaneando um código QR. Os cibercriminosos exploraram esse recurso, adulterando códigos QR legítimos dentro do aplicativo. Usuários desavisados que caíram no golpe descobriram que grandes quantias de dinheiro haviam desaparecido de suas contas.
Como detectar um ataque de quishing?
Detectar um ataque de quishing pode ser desafiador devido à natureza inerente dos códigos QR, que ocultam seu conteúdo até serem escaneados. Ao contrário dos ataques de phishing tradicionais, e-mails de quishing contêm códigos QR como imagens simples ou dentro de anexos com extensões não suspeitas, permitindo que eles evitem detectores de malware e filtros de e-mail. Isso significa que eles podem passar despercebidos e não serem relegados à pasta de spam, deixando os indivíduos vulneráveis a táticas de engenharia social.
A atração dos códigos QR para golpistas reside na capacidade de despertar curiosidade e explorar emoções como medo e urgência. Esses gatilhos emocionais podem levar vítimas desavisadas a escanear códigos QR maliciosos destinados a atividades fraudulentas, como pagar contas ou multas falsas. A conveniência e a rapidez dos códigos QR são exploradas para facilitar esses golpes.
Para se proteger de fraudes com códigos QR, é importante estar atento e procurar certos sinais antes de escanear um código QR:
- Códigos QR inesperados ou não solicitados: Tenha cautela com códigos QR que aparecem em e-mails ou mensagens não solicitadas, especialmente se eles pedirem uma ação imediata.
- Falta de contexto ou explicação: Códigos QR legítimos geralmente vêm acompanhados de explicações claras sobre seu propósito. Desconfie de códigos que carecem de contexto ou de uma fonte confiável.
- Remetente suspeito: Verifique o endereço de e-mail do remetente ou informações de contato em busca de sinais de ilegitimidade, como erros de ortografia ou nomes de domínio incomuns.
- Urgência ou pressão: Os golpistas geralmente criam um senso de urgência para incitar ações rápidas. Seja cético em relação a mensagens que pressionam você a escanear um código QR imediatamente.
- Verifique a fonte: Se possível, verifique a legitimidade do código QR entrando em contato com o remetente supostamente através de canais oficiais.
- Use um scanner de código QR seguro: Alguns aplicativos de scanner de código QR oferecem recursos de segurança que verificam a segurança do link antes de abri-lo. Considere usar um desses aplicativos para adicionar uma camada extra de proteção.
Estando ciente desses sinais e exercendo cautela, você pode reduzir o risco de cair em um ataque de quishing e proteger suas informações sensíveis de serem comprometidas.
Como se proteger contra o quishing
Para se resguardar contra ataques de quishing, é importante combinar estratégias gerais de prevenção de phishing com medidas especificamente adaptadas aos desafios únicos apresentados pelos códigos QR:
- Verifique a fonte do QR: Tenha cuidado ao escanear códigos QR, particularmente de fontes desconhecidas ou aquelas que prometem ofertas boas demais para serem verdade. Se o código vier de uma fonte aparentemente oficial, amigo ou colega, verifique sua autenticidade diretamente com eles ou visite seu site oficial.
- Use um leitor de código QR confiável: Embora a maioria dos smartphones tenha capacidades de escaneamento QR embutidas, se você optar por um aplicativo de terceiros, certifique-se de que ele seja confiável. Cuidado com atualizações fraudulentas para aplicativos de escaneamento QR, pois já distribuíram malware no passado.
- Pré-visualize o URL de destino: Se o seu aplicativo de escaneamento permitir, pré-visualize o link para o qual o código QR o direciona antes de acessá-lo. Esta precaução ajuda a proteger contra códigos QR que baixam automaticamente malware ao serem escaneados.
- Tenha cautela com informações pessoais: Após escanear um código QR, fique atento ao ser solicitado a inserir informações pessoais em uma página vinculada. Verifique duas vezes o logotipo e o URL completo do site, e se possível, digite manualmente o URL original em seu navegador em vez de usar o link fornecido pelo código QR.
- Ative a autenticação em duas etapas: Adicionar essa camada extra de segurança pode prevenir o acesso não autorizado a suas contas, mesmo se um cibercriminoso obtiver suas credenciais. Tenha cautela ao aceitar notificações de autenticação em seu telefone, a menos que você tenha iniciado uma tentativa de acesso à conta.
- Mantenha-se informado com treinamentos de conscientização sobre segurança: Atualizar regularmente seu conhecimento sobre táticas de cibercriminosos e como responder a potenciais ataques pode mantê-lo à frente das ameaças.
Seguindo essas recomendações, você pode aumentar sua defesa contra ataques de quishing e proteger suas informações sensíveis de caírem em mãos erradas.