O que é um código QR?
Um QR Code (código Quick Response) é um código de barras bidimensional. Remete para uma página web ou outro conteúdo normalmente otimizado para acesso em dispositivos móveis e tablets. O código QR é constituído por módulos geralmente pretos dispostos num quadrado com fundo branco.
Foi inventado em 1994 pela Denso Wave, uma empresa japonesa que anteriormente trabalhava para a Toyota. Aparece em folhetos, cartões de visita, cartazes ou revistas e, desde a pandemia, até nas mesas de bares e restaurantes. A sua utilização permite aceder a informações adicionais, conteúdos de áudio ou vídeo, participar num concurso ou até mesmo efetuar uma compra a partir do smartphone.
Há alguns anos que o código QR pode ser personalizado, permitindo assim que as marcas se destaquem ou integrem o código QR na sua identidade visual.
O código QR, uma ameaça cibernética em voga.
Omnipresentes nas nossas vidas, os utilizadores não têm plena consciência dos riscos associados à utilização dos códigos QR. Os hackers exploram esta tecnologia ao partilhar um URL malicioso que redireciona para um site de phishing. Também podem propagar malware ou recolher dados pessoais.
Essas práticas maliciosas podem desencadear várias ações:
- Adicionar uma lista de contactos e utilizá-la para lançar campanhas de phishing
- Fazer chamadas telefónicas para serviços pagos
- Enviar SMS a pessoas com má reputação ou procuradas pelas autoridades
- Escrever e-mails
- Efetuar pagamentos
- Aceder às suas contas bancárias
- etc.
A dificuldade reside no facto de não sabermos onde esse código nos levará antes de o ter digitalizado.
Um ataque deste tipo também afeta as organizações. Por exemplo: quando um funcionário digitaliza um código QR num restaurante no seu tempo livre, pode ser vítima de phishing. Isso não o afetará apenas a nível pessoal, mas poderá também comprometer a infraestrutura da sua organização.
Num estudo realizado pela MobileIron, “71 % dos inquiridos não distinguem entre um código QR legítimo e um código QR malicioso, enquanto 67 % afirmam distinguir entre um URL legítimo e um URL malicioso.” (fonte: informatiquesnews.fr).
Simples e rápida, esta nova ameaça é uma verdadeira oportunidade para os cibercriminosos. Os números revelam, de facto, uma falta de sensibilização dos utilizadores e a urgência de resolver essa situação.
Como se proteger?
80% dos utilizadores possuem um smartphone e quase todos conseguem ler códigos QR de forma nativa, ou seja, sem necessidade de uma aplicação de terceiros.
Para tal, eis algumas recomendações:
- Tenha cuidado antes de digitalizar um código QR afixado na mesa de um bar ou restaurante. Antes de digitalizar, certifique-se de que se trata realmente do código do estabelecimento e não de uma armadilha montada por um cibercriminoso.
- Verifique o URL indicado na notificação antes de clicar para ser redirecionado. Se o URL lhe parecer diferente ou não for de uma fonte fiável, feche a notificação imediatamente.
- Para as organizações que equipam os seus funcionários com telemóveis: impeça a instalação automática de aplicações.
- Opte pela autenticação multifator para aceder às aplicações profissionais ou opte pela nuvem.
- Instale uma solução de defesa contra ameaças móveis.
Na verdade, para se proteger desta ameaça cada vez mais frequente, a palavra de ordem é a vigilância.
