Quishing – O que é o Phishing via códigos QR?

Publicado em por

Quishing – O que é o Phishing via códigos QR?

Os códigos QR são bem conhecidos por facilitarem o acesso a diversas informações e links, e certamente que possuem várias funções úteis. Os mesmos foram criados para ajudar os utilizadores a rapidamente acederem a informação pertinente, seja um link, email ou dados de uma rede wifi – entre outros. No entanto, uma tendência que tem vindo a ser cada vez mais frequente passa pelo uso de códigos QR para fins mais perigosos.

Hoje em dia, praticamente todos os utilizadores possuem um smartphone, e a acompanhar este, aplicações que – de uma forma ou outra – são capazes de ler códigos QR. A maioria dos utilizadores nem repara nos perigos de um código QR, olhando para os mesmos como imagens inofensivas, mas a realidade é que estas podem esconder finais bastante perigosos, seja de burlas ou crimes, que podem levar a avultados roubos.

O esquema é conhecido como “quishing”, onde se usa códigos QR para realizar atividades de phishing, contornando por vezes algumas medidas de proteção que são normalmente fornecidas.

Um dos exemplos de como a maioria dos utilizadores não possui propriamente práticas de segurança na leitura de códigos QR encontra-se num evento de 2022 da Super Bowl, onde a empresa Coinbase passou durante alguns minutos uma campanha publicitária, onde um Código QR estaria a saltar no ecrã, e os utilizadores que acedessem ao mesmo e descarregassem a app, ganhavam automaticamente 15 dólares em cripto. A campanha foi um sucesso para a Coinbase, mas, ao mesmo tempo, também demonstrou os perigos a nível de segurança.

A maioria dos utilizadores que descarregaram a app, não colocaram sequer a possibilidade do código QR poder levar para conteúdos maliciosos. O link poderia rapidamente direcionar para uma página falsa de login, ou para o download de uma app maliciosa nos dispositivos. Apesar de a campanha da plataforma de criptomoedas ser segura, o caso poderia ser bastante diferente.

A maioria dos utilizadores verificam códigos QR sem pensarem no que estão realmente a aceder, e esta prática tem vindo a ser explorada para ataques. Cada vez mais campanhas de spam e phishing encontram-se a usar códigos QR para direcionar as vítimas para conteúdo malicioso. Em parte, isso ocorre porque as imagens de códigos QR podem facilmente contornar os filtros de spam, e chegar à caixa de entrada dos utilizadores. Ou podem ser anexados em pequenos ficheiros PDF aparentemente legítimos, mas que no final podem levar a esquemas mais graves.

Estes códigos podem direcionar os utilizadores para os mais variados fins, seja uma página falsa de login, ou uma página de homebanking. Como a maioria dos utilizadores possivelmente acedem dos seus dispositivos móveis, podem não ter a mesma camada de proteção que se encontra num desktop – ou até mesmo a atenção.

Uma falsa página de login numa determinada plataforma pode ser rapidamente apresentada por um código QR, que os utilizadores nem verificam tratar-se de um site falso quando acedem pelos seus smartphones.

bola de codigos qr

Existem até mesmo casos de esquemas envolvendo quishing no mundo real, onde multas falsas são passadas, e colocadas nos vidros dos veículos. Os donos dos mesmos são indicados para acederem a um código QR de forma a realizarem o pagamento, quando na verdade estarão a aceder a um falso site dos atacantes, criado exatamente para roubar dados das vítimas.

É extremamente importante que, independentemente do meio, se tenha atenção aos sites que estão a ser acedidos. A primeira linha de defesa parte dos próprios utilizadores, que devem ter cuidado na origem dos conteúdos a que acedem, validando sempre se partem de fontes fidedignas, e também se é o meio normal de acesso a esse género de conteúdos – como exemplo, uma multa certamente que não se pagaria com recurso a um código QR.