Golpes de phishing usam QR Code como isca

O phishing é um tipo de ataque de engenharia social, em que um cibercriminoso se passa por uma pessoa ou empresa legítimos para obter informações sensíveis como nomes de usuário, senhas, números de cartão de crédito e informações pessoais. Geralmente em busca de ganho financeiro.

Já os QR codes são um tipo de imagem codificada, representada por elementos gráficos agrupados em uma imagem. Esse padrão pode ser decodificado e conter informações diversas, códigos promocionais, números de telefone e endereços de websites. O uso dos QR Codes cresceu muito a partir da pandemia de COVID-19, restaurantes começaram a oferecer cardápios online acessíveis através de códigos QR, cantores e artistas utilizaram a ferramenta para solicitar doações em lives, as empresas, por sua vez, usam os códigos para direcionar clientes a websites e aplicações.

Como funciona o ataque?

O cibercriminoso envia mensagens para a vítima ou empresa alvo do ataque, essas mensagens podem ser direcionadas ou não (quando são enviadas em massa, para múltiplos destinatários). A mensagem é especialmente criada para levar a vitima a pensar ter recebido um documento digital que precisa ser assinado, que sua senha perdeu validade e precisa ser trocado ou que alguém não autorizado tentou acessar uma conta sua.

A mensagem, propositalmente, não contém links que possam receber um clique mas, sim, a imagem de um QR Code que deve ser lido com um smartphone para dar continuidade à resolução do suposto problema.

Não se engane, isso é um golpe!

Parte do problema é a combinação QR Code + smartphone

Devido ao tamanho da tela, quando você abre uma página web pelo celular a barra de endereços fica oculta, com o intuito de disponibilizar mais espaço no display para visualização de conteúdo. Assim, você não consegue (a não ser que tente) ver para qual página o QR Code direcionou o navegador do seu celular.

Para adicionar complexidade ao problema, a edição e criação de websites está cada vez mais fácil e sofisticada. Isso faz com que um website falso seja muito parecido com aquele que você está acostumado, se você não nota um URL falso, inserir dados sensíveis ali e completar o ataque é muito fácil.

O que fazer?

Algumas soluções de filtro de conteúdo para e-mails já conseguem detectar mensagens que contenham QR Codes anexados ou em seu conteúdo. Essas ferramentas podem verificar se o destino do código é malicioso ou não e bloquear a entrega do e-mail.

Caso não haja uma solução desse tipo implementada na sua empresa, desconfie de toda mensagem estranha que você receber, uma boa regra a seguir é “se você não solicitou, não acesse ou clique (ou escaneie o código QR)”.