This post is also available in: Português Español

A pandemia do novo coronavírus trouxe muitas mudanças ao nosso cotidiano, e dentre os impactos tecnológicos está o aumento no uso de códigos QR. E não é nenhuma surpresa os cibercriminosos aproveitarem essa oportunidade e as vulnerabilidades da tecnologia para aplicar seus golpes.

Mas você sabe o que é um código QR?

Apesar de parecer uma tecnologia recente, o Quick Response Code – Código de resposta rápida – foi criado em 1994, pela Denso-Wave, no Japão.

O código QR é uma evolução do código de barras, que existe desde 1970 e revolucionou a identificação de produtos. Ele consiste em um gráfico 2D, que pode ser lido pelas câmeras da maioria dos celulares.

Inicialmente, o código QR foi criado para facilitar a classificação de peças de carros. Mas logo depois ficou claro que ele poderia ser útil em outros segmentos, sendo aprimorado para oferecer mais informações e até conteúdo exclusivo, já que possui alta capacidade de armazenamento de dados.

Como se trata de um código visual, ele pode estar em forma digital, em um dispositivo, ou em forma física, impresso.

Uma das vantagens é levar o consumidor diretamente aonde se quer que ele vá, eliminando a necessidade de inserir endereços em navegadores de smartphones.

Uma outra vantagem é tornar a vida mais fácil em um mundo no qual as transações sem contato se tornaram desejadas ou necessárias.

A exploração do código QR é simples e eficaz

Os cibercriminosos estão se aproveitando de todas as brechas de segurança durante a pandemia, visando cada vez mais os dispositivos móveis com ataques mais sofisticados.

Quando estão utilizando seus dispositivos móveis, os usuários tendem a se distrair, o que os torna propensos a serem vítimas de ciberataques.

Com facilidade, os invasores podem incorporar uma URL maliciosa que contém um malware personalizado em um código QR, que pode extrair dados de um dispositivo móvel quando verificado. Eles podem também incorporar uma URL maliciosa em um código QR, que direcione para um site de phishing e induza os usuários a divulgar suas credenciais.

Os códigos QR não são legíveis por humanos. Portanto, a capacidade de alterar um código QR para apontar para um recurso alternativo sem ser detectado é simples e altamente eficaz.

Uma pesquisa realizada pela MobileIron, mostrou que a maioria das pessoas não conseguem distinguir entre um código QR legítimo e um malicioso. Embora eles estejam cientes de que os códigos QR podem abrir uma URL, eles estão menos atentos às outras ações que esses códigos podem iniciar.

Segundo o vice-presidente global da MobileIron, Alex Mosher:

“Um ataque bem-sucedido ao dispositivo móvel pessoal de um funcionário pode resultar no comprometimento das informações pessoais ou no esgotamento dos recursos financeiros, bem como no vazamento de dados corporativos confidenciais”.

Como os cibercriminosos exploram o código?

O que torna as ameaças à segurança do código QR especialmente problemática é o elemento surpresa entre os usuários desavisados. Ainda não se teve registro de ataques diretos aos códigos QR, mas há muitos exemplos de invasores que utilizam seus próprios códigos no decorrer dos ataques.

O grande problema é que os códigos QR podem iniciar várias ações no dispositivo do usuário, como abrir um site, adicionar um contato ou redigir um e-mail. Porém, os usuários geralmente não têm ideia do que acontecerá quando ler o código.

Um ataque comum envolve colocar um código QR malicioso em público, às vezes encobrindo um código QR legitimo. Quando os usuários desavisados escaneiam o código, eles são enviados para uma página da web maliciosa, que pode hospedar um kit de exploração, ou para uma página de login falsa, que pode roubar as credenciais do usuário.

Os phishing é a forma mais comum de exploração de códigos QR, pois torna fácil o roubo de credenciais, o comprometimento do dispositivo, o roubo de dados e vigilância maliciosa dos dispositivos. Essas são as principais preocupações das empresas e consumidores.

Caso os códigos QR levem a sites de pagamento, os usuários podem divulgar suas senhas e outras informações pessoais que correm o risco de cair nas mãos erradas.
Rahul Telang, professor de sistemas de informação do Heinz College da Carnegie Mellon University, diz:

“Muitos sites fazem download drive-by, então a mera presença no site pode iniciar o download de software malicioso. Dispositivos móveis em geral tendem a ser menos seguros do que laptops ou computadores. Como os códigos QR são usados em dispositivos móveis, a possibilidade de vulnerabilidade também é maior”.

Telang ainda diz que, como muitos desses dispositivos móveis são usados no contexto de TI corporativa, a infiltração dos dispositivos pode se tornar um ponto fraco de segurança para as organizações.

Como diminuir o risco de exploração de código QR?

Usuários e organizações podem sim tomar medidas para ajudar a diminuir o risco de ameaças à segurança do código QR. Mas envolve principalmente o bom senso.

Os usuários devem fazer determinações sobre a legitimidade dos códigos antes de digitaliza-los. Prestar muita atenção antes de escanear um código, principalmente em materiais impressos em um local público. É importante certificar-se de que não foi colado com um código diferente, que pode ser malicioso.

É recomendado que não se use nenhum código QR que aparentam ter sido alterados de alguma maneira. E jamais faça login em um aplicativo usando um código QR.

Telang ainda alerta sobre a importância de estar sempre atento para se certificar de que trata-se de um site legitimo, já que os ataques de phishing estão entre os riscos mais significativos dos códigos QR.

“As empresas devem ser cuidadosas e ter uma solução de endpoint unificadas que lhes dê a capacidade de proteger todos os dispositivos sem afetar a produtividade”, diz ele.

É fundamental ter segurança de dispositivo, como defesa contra ameaças móveis e proteção contra exploits em todos os periféricos usados para acessar recursos corporativos.

Outra prática de prevenção é garantir que a organização que apresenta os códigos QR ao público seja legitima. Caso a fonte do código QR pareça estar incompleta, é recomendado que não se faça a leitura.

As equipes de segurança digital e de TI – e as empresas como um todo – devem estar cientes dos riscos envolvidos com os códigos QR.

Fonte: MobileIron.

This post is also available in: Português Español

Compartilhe: