Quishing: Phishing de código QR

O quishing é a utilização de códigos QR fraudulentos para instalar malware no seu dispositivo e obter acesso a dados pessoais.

Descubra os perigos do QR phishing (Quishing): Aprenda a identificá-lo e a evitá-lo, garantindo a sua segurança e privacidade digital.

Antivírus gratuito

O que é quishing?

O phishing QR, também conhecido como "quishing", é um crime cibernético que explora a popularidade dos códigos QR. Neste esquema, os cibercriminosos criam códigos QR maliciosos que, quando lidos, conduzem a sítios Web fraudulentos ou incitam ao descarregamento de software nocivo. Como as pessoas utilizam cada vez mais códigos QR para vários fins, como aceder a menus ou efetuar pagamentos, podem, sem saber, digitalizar estes códigos enganadores, colocando em risco as suas informações pessoais.

Esse comportamento foi destacado durante o Super Bowl de 2022, quando o anúncio inovador de código QR da Coinbase levou a um aumento significativo nos downloads de aplicativos. No entanto, também levantou preocupações na comunidade de segurança cibernética, especialmente à luz dos recentes golpes do Crypto QR, em que os golpistas usaram códigos QR para manipular as vítimas a retirar dinheiro de suas contas.

O termo "quishing" combina códigos QR e phishing, indicando um método em que agentes maliciosos criam códigos QR falsos para encaminhar os utilizadores para sites falsos, roubar informações ou instalar malware nos seus dispositivos. O objetivo é enganar os indivíduos, fazendo-os acreditar que estão a interagir com um código QR inofensivo ou necessário, enquanto a verdadeira intenção é aceder e roubar informações pessoais e financeiras.

O que é um código QR?

Os códigos QR, ou códigos de resposta rápida, são códigos de barras bidimensionais que podem armazenar uma grande quantidade de dados e ser lidos rapidamente por smartphones ou leitores de códigos de barras. Originalmente inventados por um fabricante de automóveis japonês em 1994 para melhorar a eficiência no fabrico, os códigos QR registaram um aumento da sua utilização nos últimos anos.

Tornaram-se particularmente populares durante a pandemia, como forma de manter a continuidade das actividades, respeitando as regras de distanciamento social. Como resultado, os consumidores habituaram-se a digitalizar códigos QR, com estudos que prevêem que mais de 100 milhões de utilizadores nos EUA utilizarão os seus telefones para digitalizar códigos QR até 2025.

A versatilidade dos códigos QR, que podem ser lidos tanto em ecrãs como em papel, levou à sua adoção generalizada em vários sectores, incluindo o processamento de pagamentos, o marketing e a publicidade. Atualmente, os códigos QR encontram-se habitualmente em espaços públicos, como outdoors e restaurantes, bem como em comunicações digitais, como mensagens de texto, redes sociais e e-mails.

Códigos QR estáticos ou dinâmicos

Os códigos QR podem ser classificados em dois tipos principais com base na sua flexibilidade de dados: estáticos e dinâmicos.

Os códigos QR estáticos são fixos e não podem ser alterados depois de criados. São normalmente utilizados para partilhar informações estáticas, como o URL de um sítio Web, dados de contacto ou uma palavra-passe de Wi-Fi.

Os códigos QR dinâmicos, pelo contrário, são mais flexíveis, uma vez que a informação que codificam pode ser actualizada ou alterada sem alterar o aspeto do código. Contêm um URL único que encaminha os utilizadores para um servidor onde a informação é armazenada. Esta adaptabilidade torna-os ideais para situações em que o conteúdo necessita de actualizações frequentes, como informações sobre eventos, ofertas promocionais ou acompanhamento de inventário em tempo real. No entanto, esta mesma flexibilidade também representa um risco de segurança, uma vez que os burlões podem explorar códigos QR dinâmicos alterando a sua fonte para redirecionar os utilizadores para sites maliciosos.

O que é o phishing?

O phishing é um método amplamente utilizado pelos cibercriminosos para aceder a dados valiosos através de ataques de engenharia social, principalmente por correio eletrónico. Uma mensagem de correio eletrónico de phishing típica contém uma hiperligação ou um anexo, que leva o utilizador a clicar ou a descarregá-lo, com o objetivo de roubar informações sensíveis, como detalhes financeiros ou credenciais de início de sessão da empresa.

No entanto, como os atacantes procuram continuamente técnicas mais eficazes, surgiram novas tácticas de phishing, incluindo o vishing (voice phishing), smishing (SMS phishing) e quishing (QR phishing). Estas variações exploram diferentes canais de comunicação para levar a cabo práticas enganosas semelhantes, com o quishing a aproveitar especificamente a popularidade e a conveniência dos códigos QR para enganar os utilizadores e levá-los a revelar as suas informações pessoais.

Como é que o quishing funciona?

O quishing é um tipo de ataque de phishing que utiliza códigos QR para enganar as pessoas, levando-as a visitar sites prejudiciais ou a descarregar ficheiros que contêm malware. Os códigos QR podem alojar várias fontes, tais como ligações, documentos e portais de pagamento, o que os torna uma ferramenta versátil para os cibercriminosos. Estes códigos podem ser manipulados para conter ligações maliciosas, documentos com vírus ou portais de pagamento falsos. Uma vez que o conteúdo por detrás de um código QR não é visível quando é apresentado como uma imagem, constitui um meio ideal para os burlões iludirem as medidas de segurança, incorporando-o em mensagens de correio eletrónico.

Um ataque de quishing começa normalmente com um cibercriminoso a criar códigos QR que redireccionam para uma página de início de sessão fraudulenta para recolher as credenciais das vítimas ou para um site que descarrega automaticamente malware após o scan. Estes códigos QR maliciosos podem ser inseridos em mensagens de correio eletrónico como imagens ou anexos, ou podem ser colocados em áreas públicas onde é provável que as pessoas os leiam. Quando o código QR é lido, as vítimas podem ser solicitadas a introduzir informações sensíveis, como dados de acesso ou informações bancárias, ou podem descarregar inadvertidamente software ou aplicações nocivas. Em alguns casos, o descarregamento de conteúdos maliciosos pode ocorrer automaticamente logo após o código ser lido, comprometendo ainda mais o dispositivo da vítima.

Compreender o QRLJacking: Um estudo de caso sobre quishing

O QRLJacking é uma forma sofisticada de quishing que visa especificamente os sistemas Quick Response Login (QRL). O QRL é um método de autenticação de fácil utilização que permite aos utilizadores iniciar sessão em sítios Web, aplicações ou serviços digitais digitalizando um código QR com o seu smartphone. Este método elimina a necessidade de memorizar palavras-passe complexas, oferecendo uma alternativa conveniente para os utilizadores.

No entanto, esta conveniência também introduz uma vulnerabilidade que os cibercriminosos aprenderam a explorar. Num ataque QRLJacking, os piratas informáticos iniciam uma sessão no sítio Web ou aplicação visados e clonam o código QR legítimo. Em seguida, manipulam o código clonado redireccionando-o para o seu próprio servidor e incorporam-no numa página de início de sessão falsa que imita a original. O código QR malicioso é distribuído através de e-mails ou outros canais, enganando os utilizadores para que o digitalizem para iniciar sessão.

O perigo do QRLJacking torna-se evidente quando a autenticação multi-fator não está activada. Assim que a vítima digitaliza o código QR manipulado, o atacante obtém acesso imediato à conta da vítima. Um exemplo notável deste ataque ocorreu com o ING Bank, cuja aplicação permitia aos clientes iniciar sessão num segundo dispositivo através da leitura de um código QR. Os cibercriminosos exploraram esta funcionalidade, adulterando códigos QR legítimos dentro da aplicação. Os utilizadores involuntários que foram vítimas do esquema descobriram que quantias significativas de dinheiro tinham desaparecido das suas contas.

Como é que se pode detetar um ataque de quishing?

Detetar um ataque de quishing pode ser um desafio devido à natureza inerente dos códigos QR, que escondem o seu conteúdo até serem digitalizados. Ao contrário dos ataques de phishing tradicionais, os e-mails de quishing contêm códigos QR como imagens simples ou dentro de anexos com extensões não suspeitas, permitindo-lhes contornar detectores de malware e filtros de e-mail. Isto significa que podem escapar à deteção e não serem relegados para a pasta de spam, deixando os indivíduos vulneráveis a tácticas de engenharia social.

O atrativo dos códigos QR para os burlões reside na sua capacidade de despertar a curiosidade e explorar emoções como o medo e a urgência. Estes estímulos emocionais podem levar vítimas desprevenidas a digitalizar códigos QR maliciosos destinados a actividades fraudulentas, como o pagamento de facturas ou multas falsas. A conveniência e a rapidez dos códigos QR são exploradas para facilitar estas fraudes.

Para se proteger da fraude com códigos QR, é importante estar atento e procurar certos sinais antes de digitalizar um código QR:

  • Códigos QR inesperados ou não solicitados: Tenha cuidado com os códigos QR que aparecem em mensagens ou mensagens electrónicas não solicitadas, especialmente se o convidarem a tomar medidas imediatas.
  • Falta de contexto ou de explicação: Os códigos QR legítimos são normalmente acompanhados de explicações claras sobre o seu objetivo. Desconfie dos códigos que não têm contexto ou uma fonte credível.
  • Remetente suspeito: Verifique se o endereço de correio eletrónico ou as informações de contacto do remetente apresentam sinais de ilegitimidade, como erros ortográficos ou nomes de domínio invulgares.
  • Urgência ou pressão: Os burlões criam muitas vezes um sentimento de urgência para solicitar uma ação rápida. Seja cético em relação a mensagens que o pressionem a digitalizar um código QR imediatamente.
  • Verificar a fonte: Se possível, verifique a legitimidade do código QR contactando o suposto remetente através dos canais oficiais.
  • Utilize um leitor de código QR seguro: Algumas aplicações de leitura de código QR oferecem funcionalidades de segurança que verificam a segurança da ligação antes de a abrir. Considere utilizar uma aplicação deste tipo para adicionar uma camada extra de proteção.

Se estiver atento a estes sinais e tiver cuidado, pode reduzir o risco de ser vítima de um ataque de quishing e proteger as suas informações sensíveis de serem comprometidas.

Eis como se pode proteger contra o quishing

Para se proteger contra ataques de quishing, é importante combinar estratégias gerais de prevenção de phishing com medidas especificamente adaptadas aos desafios únicos colocados pelos códigos QR:

  1. Verificar a fonte do código QR: Tenha cuidado ao digitalizar códigos QR, especialmente de fontes desconhecidas ou que prometam ofertas demasiado boas para serem verdadeiras. Se o código vier de uma fonte aparentemente oficial, de um amigo ou de um colega, verifique a sua autenticidade diretamente com eles ou visite o seu sítio Web oficial.
  2. Utilize um leitor de códigos QR fiável: Embora a maioria dos smartphones tenha capacidades de leitura de QR incorporadas, se optar por uma aplicação de terceiros, certifique-se de que é fiável. Desconfie de actualizações fraudulentas para aplicações de leitura de QR, uma vez que, no passado, foram conhecidas por distribuir malware.
  3. Pré-visualizar o URL de destino: Se a sua aplicação de digitalização o permitir, pré-visualize a ligação para a qual o código QR o direciona antes de aceder à mesma. Esta precaução ajuda a proteger contra códigos QR que descarregam automaticamente malware após a leitura.
  4. Seja cauteloso com as informações pessoais: Depois de digitalizar um código QR, esteja atento quando lhe for pedido para introduzir informações pessoais numa página ligada. Verifique novamente o logótipo e o URL completo do site e, se possível, escreva manualmente o URL original no seu browser em vez de utilizar a ligação fornecida pelo código QR.
  5. Ativar a autenticação de dois factores: A adição desta camada extra de segurança pode impedir o acesso não autorizado às suas contas, mesmo que um cibercriminoso obtenha as suas credenciais. Tenha cuidado ao aceitar notificações de autenticação no seu telemóvel, a menos que tenha iniciado uma tentativa de acesso à conta.
  6. Mantenha-se informado com a formação de sensibilização para a segurança: Atualizar regularmente os seus conhecimentos sobre as tácticas dos cibercriminosos e a forma de responder a potenciais ataques pode mantê-lo à frente das ameaças.

Ao seguir estas recomendações, pode melhorar a sua defesa contra ataques de quishing e proteger as suas informações sensíveis de caírem nas mãos erradas.

O que é um código QR?

O que é o phishing?

O que é a engenharia social?

O que é a pegada digital?

O que é spear phishing?

O que é a catfishing?

O que é um e-mail de phishing?

FAQs

Os códigos QR podem ser utilizados pelos cibercriminosos para acções maliciosas, como a incorporação de malware nos códigos. Quando lidos, estes códigos QR comprometidos podem infetar os dispositivos com vários tipos de malware, incluindo vírus, worms, cavalos de Troia, spyware e adware, que podem levar ao roubo de informações pessoais, ao acesso não autorizado a dados sensíveis ou a ataques de phishing.