Atualmente, os QR Code estão em todo lugar: anúncios, restaurantes, academias, agências de viagem, cafeterias, supermercados, hospitais, lojas e até mesmo em farmácias. QR Codes são um tipo de código de barras bidimensional que contém dados geralmente para localizadores, identificadores ou rastreadores. Um smartphone ou qualquer dispositivo que possui uma câmera pode facilmente ler e converter o código em informações para o usuário final, como fornecer uma URL que direciona para um site ou aplicativo.
Nos últimos dois anos, os consumidores aumentaram suas atividades digitais e aprenderam a tomar mais cuidado com fraudes on-line e por e-mail, levando os fraudadores a buscar novas formas de cometer crimes. A nova modalidade estava literalmente na mesa: os QR Codes.
Eles não servem apenas como meio de conhecer serviços ou pratos para escolher em um restaurante, mas também são usados para fazer pagamentos e cobranças. São até um meio de identificação do Governo para saber quais e quantas doses de vacinação a população recebeu.
Como os QR Codes são simples de gerar e utilizar, os consumidores não param para pensar no risco que podem significar para sua segurança. E essa simplicidade faz com que os cibercriminosos utilizem os códigos para ter acesso aos smartphones, informações pessoais e até mesmo bancárias.
Em janeiro de 2022, o FBI emitiu um aviso dizendo que cibercriminosos estavam manipulando QR Codes legítimos para redirecionar as vítimas para sites maliciosos, que acabavam roubando dados financeiros de login. E poucas semanas após o alerta, durante o maior jogo de futebol americano do ano, mais de 20 milhões de pessoas escaneram um único e misterioso QR Code em um comercial de uma empresa não identificada, tudo no espaço de um minuto.
Dessa forma, os golpistas podem criar sites falsos em que informam que, por exemplo, para acesso à uma rede de internet pública por 30 minutos é necessário preencher um formulário com e-mail e data de nascimento. E o fato de só solicitarem essas informações específicas, faz com que o consumidor acredite que se trata de um site sério, porém, fornecerá informações do próprio smartphone.
Ao usar o ataque phishing no dispositivo, por exemplo, os invasores podem falsificar o bloqueador de senha no dispositivo da vítima, que ao inserir nome de usuário e senha, permite o acesso a todas as senhas do usuário.
É por esse motivo que Len Noe, Technical Evangelist e White Hat Hacker da CyberArk, companhia global de segurança de identidade, recomenda sete maneiras para que as pessoas se proteger:
Não escanear! Se alguma coisa parece errada, o ideal é não escanear o QR Code, só acessar o site diretamente. Todo código verdadeiro deveria ter uma URL associada embaixo para dar a opção ao usuário de navegar por lá. Se estiver faltando, pode ser duvidoso.
Não ter pressa. Antes de digitalizar qualquer código, é importante se perguntar se sabe quem inseriu o QR Code ali, e se confia nessa pessoa ou empresa. Faz sentido usar esse código nesta situação?
Inspecionar de perto as URLs dos QR Codes. Depois de digitalizar o QR Code, é essencial verificar o link que o direciona antes de continuar o acesso. Também é importante checar se corresponde à organização associada, se parece suspeito ou inclui erros ortográficos ou erros de digitação estranhos. Por exemplo, nos golpes de parquímetros do Texas, parte do URL usado era “passportlab.xyz”, visivelmente não era um site oficial do governo da cidade. Também é possível fazer uma pesquisa rápida na web, procurando pela URL em questão, para confirmar se o QR Code é autêntico.
Procurar sinais de alteração física. Essa dica é importante especialmente em locais onde os QR Codes são utilizados com frequência, como restaurantes. Se tiver um adesivo de QR Code colado em cima de outro código, é motivo para desconfiar.
Nunca baixar apps de QR Codes. Pessoas mal intencionadas podem facilmente clonar e falsificar sites. Para baixar um aplicativo, o caminho ideal é acessar a loja oficial de aplicativos do sistema operacional do dispositivo e fazer o download diretamente por lá.
Não fazer pagamentos eletrônicos por meio de QR Codes. É melhor usar o aplicativo oficial ou acessar o site com o domínio oficial para fazer login por lá.
Ativar a autenticação multifatorial (MFA). Isso ajuda a proteger contas confidenciais, como aplicativos bancários, de e-mails e redes sociais. Com outra camada de autenticação, um cibercriminoso não conseguirá acessar os dados da vítima apenas com o nome de usuário e senha.
Quando o assunto é QR Code, o melhor conselho é sempre usar o bom senso. Se fosse um e-mail, seria confiável clicar nele? Os códigos estão se tornando um dos métodos de ataque phishing favoritos dos invasores, e as mesmas regras se aplicam. Prosseguir com cautela e aplicar os mesmos critérios de segurança que aplicaria a qualquer coisa no mundo digital.
Foto: Divulgação.