QR Code: facilidade ou perigo?

Veja como evitar cair em golpes por códigos QR.

Você pode encontrar QR code em tudo, desde embalagens de iogurte a exposições em museus, de contas de serviços públicos a bilhetes de loteria. As pessoas os usam para abrir sites, baixar aplicativos, coletar pontos de programas de fidelidade, fazer pagamentos e transferir dinheiro e até mesmo doar para instituições de caridade. A tecnologia acessível e prática é conveniente para muitos, incluindo, como sempre, os cibercriminosos, que já implementaram uma variedade de esquemas baseados em QR.

Veja o que pode dar errado com esses quadrados em preto e branco onipresentes e como você pode usá-los sem medo.

O que são os códigos QR e como são usados

Hoje em dia, quase todo mundo possui um smartphone. Muitos dos modelos mais recentes têm um scanner, mas qualquer pessoa pode baixar um aplicativo que lê códigos QR, popularmente chamados de QR code no Brasil, ou optar por um especial, por exemplo, para um museu.

Para escanear um QR code, o usuário simplesmente abre o aplicativo do scanner e aponta a câmera do telefone para o código. Na maioria das vezes, o smartphone solicitará que você vá a um determinado site ou baixe um aplicativo. Há outras opções que veremos em breve.

Scanners especializados usam um conjunto específico de códigos QR. Você pode encontrar esse código em uma placa para uma árvore historicamente importante em um parque. Nesse caso, digitalizá-lo com o aplicativo oficial do parque pode iniciar uma visita guiada, enquanto um scanner padrão simplesmente abriria uma descrição no site do parque.

Além disso, alguns aplicativos podem criar QR codes para fornecer certas informações a qualquer pessoa que os escaneie. Por exemplo, podem receber o nome e a senha da rede Wi-Fi de visitantes ou detalhes da conta bancária.

Como os cibercriminosos usam os QR codes

Os códigos QR são apenas uma versão mais avançada dos códigos de barras, então o que pode dar errado? Muitas coisas, no fim das contas. Os seres humanos não podem simplesmente ler QR code ou verificar com antecedência o que eles farão, então contamos com a integridade de seus desenvolvedores. Também não podemos saber tudo o que um código QR inclui, mesmo quando criamos o nosso próprio. O sistema é muito explorável.

Links falsos

Um código QR criado por cibercriminosos pode levar a um site de phishing que se parece com a página de login de uma rede social ou banco online. É por isso que recomendamos sempre verificar os links antes de tocar ou clicar. Um código QR, no entanto, não oferece tal acessibilidade. Além disso, os invasores costumam usar links curtos, tornando mais difícil detectar uma farsa quando o smartphone pede confirmação.

Esquemas semelhantes podem induzir os usuários a erros de download de aplicativos, por exemplo, baixando malware em vez do jogo ou ferramenta pretendida. Nesse ponto, o céu é o limite; malware pode roubar senhas, enviar mensagens maliciosas aos seus contatos e muito mais.

Comandos codificados por QR

Além de vincular a um site, um QR code pode conter um comando para realizar certas ações. Nesse caso, novamente, as possibilidades são amplas; eis uma pequena amostra:

● Adicionar contatos;
● Realizar uma chamada;
● Rascunhar um e-mail, preenchendo destinatário e assunto;
● Enviar mensagens de texto;
● Compartilhar a sua localização com algum aplicativo;
● Criar uma conta em uma rede social;
● Agendar um evento no seu calendário;
● Adicionar uma rede preferencial de Wi-Fi com credenciais para conexão automática;

O fio condutor é a automação de ações comuns. Por exemplo, ao escanear um código QR, você pode adicionar detalhes de contato de um cartão de visita, pagar pelo estacionamento ou conceder acesso a uma rede Wi-Fi de visitantes.

Essas amplas capacidades tornam os QRs code alvos de manipulação. Por exemplo, os golpistas podem adicionar suas informações de contato à sua lista de endereços sob o nome “Banco” para dar credibilidade a uma ligação que tenta fraudar você. Ou ligar para um serviço em seu nome. Ou descobrir onde você está.

Como os cibercriminosos mascaram códigos QR

Para que os invasores possam prejudicá-lo usando um QR code, eles primeiro precisam persuadi-lo a escaneá-lo. Para fazer isso, eles têm alguns truques.

Fontes maliciosas. Os cibercriminosos podem colocar um código QR com um link para sua criação em um site, banner, e-mail ou até mesmo em um anúncio em papel. Normalmente, o objetivo é fazer a vítima baixar um aplicativo malicioso. Em muitos casos, os logotipos do Google Play e da App Store são colocados ao lado do código para aumentar a credibilidade.

Substituição. Não é incomum para os invasores pegarem carona no trabalho e na reputação de empresas legítimas, substituindo um código QR real em um pôster ou placa por um falso.

Incidentalmente, a invasão do QR code não se limita aos cibercriminosos; ativistas sociais inescrupulosos começaram a usar a substituição do código QR para disseminar suas ideias. Na Austrália, por exemplo, um homem foi preso recentemente por supostamente adulterar os códigos QR nas placas de check-in nos centros COVID-19, então eles levaram os visitantes a um site antivacinação.
Novamente, as possibilidades são praticamente ilimitadas. Os códigos QR são pontos comuns em contas de serviços públicos, panfletos, sinalização de escritório e quase todo lugar onde você possa encontrar informações ou instruções.

Como evitar problemas com códigos QR

Por segurança, siga algumas regras simples ao usar QR codes:

● Não escaneie QRs de fontes obviamente suspeitas;

● Preste atenção aos links exibidos ao digitalizar o código. Fique especialmente atento se o URL tiver sido encurtado, porque com os códigos QR, não há razão convincente para encurtar nenhum link. Em vez disso, use um mecanismo de pesquisa ou loja oficial para encontrar o que procura;

● Faça uma verificação física rápida antes de escanear um QR code em um pôster ou placa para ter certeza de que o código não foi colado sobre a imagem original;

● Use um programa como o scanner QR da Kaspersky (disponível para Android e iOS) que verifica os QRs code em busca de conteúdo malicioso.

Os códigos QR também podem conter informações valiosas, como números de e-tickets, portanto, você nunca deve publicar documentos com códigos QR nas redes sociais.

Dicas