O QR Code é hoje uma ferramenta muito popular que é utilizada em diversos lugares como, por exemplo, restaurantes, academias, agências de viagem, cafeterias, supermercados, hospitais, lojas, farmácias e até mesmo em propagandas nas redes sociais ou na TV. Um grande fator que contribuiu para sua popularização foi a pandemia da COVID-19, onde o comércio procurou diversas formas de sobreviver através do meio digital. Entretanto, como tudo que tem sucesso, o QR Code acabou atraindo cibercriminosos que estão utilizando a ferramenta para roubar informações e realizar golpes.

Para aqueles que não conhecem, o QR Code foi criado em 1994 por Masahiro Hara da empresa automotiva japonesa Denso Wave. Seu aspecto é semelhante a um código de barras, mas ao invés de ser retangular, é quadrado. Assim como o código de barras, o QR Code pode ser lido através da utilização de algum sensor de imagens e uma das formas mais comuns de se fazer isso é utilizando uma câmera fotográfica de um dispositivo mobile como, por exemplo, um celular ou um tablet. Ao realizar a leitura da imagem preto e branco, será identificado um código, que normalmente é um endereço para o acesso de um site na internet.

Porque o QR Code pode representar uma ameaça para quem o usa?

O QR Code hoje é simples de gerar e utilizar. Devido a essa grande facilidade e popularidade atual da tecnologia, nos últimos 2 anos houve um aumento na atividade de cibercriminosos utilizando o QR Code para ter acesso ao celular da vítima e consequentemente às informações pessoais, podendo até acessar a conta bancária da mesma.

A empresa CyberArk, especialista em segurança de identidade, relata que em janeiro de 2022 o FBI disse que "cibercriminosos estavam manipulando QR Codes legítimos para redirecionar as vítimas para sites maliciosos, que acabavam roubando dados financeiros de login". Ou seja, o QR Code está sendo utilizado para aplicar golpes direcionando as vítimas para sites que se assemelham a algo legítimo, onde costuma-se pedir diversos dados da pessoa.

Através de algumas técnicas de manipulação social, o cibercriminoso pode realizar ataques de phishing em celulares. Isso pode levar o golpista, de acordo com a CyberArk, a "falsificar o bloqueador de senha no dispositivo da vítima, que ao inserir nome de usuário e senha, permite que o invasor obtenha acesso a todas as senhas do usuário".

QR Code: Sete coisas que você deve se atentar ao utilizar

Para evitar que você seja enganado ao utilizar um QR Codem, a CyberArk recomenda sete cuidados que as pessoas devem ter para não ter suas informações roubadas e acabam perdendo o acesso a diversos serviços, inclusive bancários.

  1. Não escanear! Se alguma coisa parece errada, o ideal é não escanear o QR Code, só acessar o site diretamente. Todo código verdadeiro deveria ter uma URL associada embaixo para dar a opção ao usuário de navegar por lá. Se estiver faltando, pode ser duvidoso.
  2. Não ter pressa. Antes de digitalizar qualquer código, é importante se perguntar se sabe quem inseriu o QR Code ali, e se confia nessa pessoa ou empresa. Faz sentido usar esse código nesta situação?
  3. Inspecionar de perto as URLs dos QR Codes. Depois de digitalizar o QR Code, é essencial verificar o link que o direciona antes de continuar o acesso. Também é importante checar se corresponde à organização associada, se parece suspeito ou inclui erros ortográficos ou erros de digitação estranhos. Por exemplo, nos golpes de parquímetros do Texas, parte do URL usado era "passportlab.xyz", visivelmente não era um site oficial do governo da cidade. Também é possível fazer uma pesquisa rápida na web, procurando pela URL em questão, para confirmar se o QR Code é autêntico.
  4. Procurar sinais de alteração física. Essa dica é importante especialmente em locais onde os QR Codes são utilizados com frequência, como restaurantes. Se tiver um adesivo de QR Code colado em cima de outro código, é motivo para desconfiar.
  5. Nunca baixar apps de QR Codes. Pessoas mal intencionadas podem facilmente clonar e falsificar sites. Para baixar um aplicativo, o caminho ideal é acessar a loja oficial de aplicativos do sistema operacional do dispositivo e fazer o download diretamente por lá.
  6. Não fazer pagamentos eletrônicos por meio de QR Codes. É melhor usar o aplicativo oficial ou acessar o site com o domínio oficial para fazer login por lá.
  7. Ativar a autenticação multifatorial (MFA). Isso ajuda a proteger contas confidenciais, como aplicativos bancários, de e-mails e redes sociais. Com outra camada de autenticação, um cibercriminoso não conseguirá acessar os dados da vítima apenas com o nome de usuário e senha.

Ao fim, é sempre bom analisar a situação e pensar se o QR Code que você está escaneando foi acessado em um local (físico ou online) que é considerado confiável, seguro. Assim haverá uma chance menor de você sofrer algum ataque ter suas informações roubadas.

Para ter certeza da confiabilidade do QR Code, procure sempre saber se o que você está acessando é oficial. Basta acessar as redes sociais da empresa ou pessoa ou, caso for um estabelecimento físico, observar se há alguma alteração que faça com que o QR Code que está colado esteja diferente dos outros no lugar ou que esteja com uma qualidade de imagem muito duvidosa.