Qshing: O QR Code não é tão seguro quanto se pensa
4 de julho de 2022Os códigos QR aproveitam como câmeras e scanners de dispositivos móveis para ler um código de barras de matriz
Por Adriano da Silva Santos
Quase duas décadas após o desenvolvimento, a prevalência e o uso de códigos de resposta rápida (QR) expandiram-se muito além de seu escopo original.
Embora muitos usos sejam legítimos, os atores de ameaças também aproveitam a tecnologia para fins maliciosos.
Inventado em 1994, códigos QR originalmente forneceu informações de rastreamento rápido para peças de carro.
Essa tecnologia foi adotada por outras empresas e atualizada para facilitar o acesso aos sites e outras informações.
Em 2022, são usados para tarefas como facilitar pagamentos, baixar, distribuir documentos e ingressos confirmados para eventos.
Além disso, suportamos até mecanismos de segurança, incluindo a implantação de autenticação multifatorial.
A pandemia COVID-19 levou ao uso generalizado de códigos QR para relatar os resultados dos testes e confirmar a situação da vacinação.
A popularidade da tecnologia foi confirmada, por exemplo, pela varredura sem precedentes de anúncio da Coinbase durante o Super Bowl de 2022.
Essa evolução convenceu os usuários de que os mecanismos de código QR podem ser confiáveis.
No entanto, os atores de estão ameaçando explorar essa confiança para coletar informações confidenciais ou implantar malware.
Como os códigos QR são explorados?
Os códigos QR aproveitam como câmeras e scanners de dispositivos móveis para ler um código de barras de matriz.
O dispositivo então traduz o código de barras em uma ação, como um redirecionamento para um site de mídia social.
Embora os códigos QR não possam ser diretamente comprometidos, é possível substituir um código QR por outro, abusar deles para distribuir software malicioso ou redirecionar as vítimas para um site malicioso.
Os ataques que exploram códigos QR são conhecidos como ‘Qshing’ (phishing de código QR). Em janeiro de 2022, o Federal Bureau of Investigation (FBI) dos EUA, relatou aos usuários recorrentes de código QR sobre adulteração e citou o aumento dos relatórios de credenciais roubadas e perdas monetárias.
Em março de 2022, a Equipe de Resposta às Emergências de Computacionais da Ucrânia (CERT-UA) informou que uma campanha de Qshing, aproveitava uma página falsa de redefinição de senha para roubar credenciais.
Embora não haja uma forma conclusiva de verificar a legitimidade de um código QR que não será abri-lo ou usar um aplicativo de scanner de código QR, existem algumas etapas que devem ser levadas em conta ao envolver com um código QR:
– Aplicativo de segurança em dispositivo móvel: Muitos fornecedores confiáveis aplicativos com detecção de outras e proteções de segurança.
Alguns os scanners incluem QR. A sua digitalização pode interceptar códigos maliciosos ou características suspeitas, adicionando outra camada de proteção.
– A segurança do código QR: Os usuários devem ser cautelosos se a digitalização de um código QR leva as solicitações de informações que não parecem relevantes.
Caso o código QR pareça suspeito, pode-se verificar sua legitimidade entrando em contato com a organização ou indivíduo que o emitiu.
Ademais, é importante avaliar os potenciais riscos associados ao compartilhamento de informações solicitadas.
– Rota direta: Os códigos QR são frequentemente usados para fornecer acesso direto a um site ou download de aplicativos. É mais seguro visitar um site de uma URL confirmada em um navegador da Web e baixar os aplicativos da loja oficial.
– Proteção de QR que fornece acesso ao PII: Aos códigos QR que se ligam aos dados confidenciais, como informações de saúde, estão ligados unicamente a seus respectivos indivíduos.
Nunca se deve compartilhar com estranhos e muitos menos realizar uma captura de tela e compartilhamento público deste código.
– Verificação do destino: Em si, o código QR não pode ser malicioso, mas pode direcionar o conteúdo que é.
Avaliar a autenticidade e segurança do conteúdo considerando fatores como URL, validade de status de criptografia e formatação de página são imprescindíveis.
– Minimização de impacto: Caso o código QR tenha sido digitalizado e direcionado para um site ou aplicativo que não seja confiável, então será necessário fechar a página, limpar os cookies e o cache e excluir o conteúdo do navegador.
Em se tratando do fornecimento de credenciais ou informações financeiras será preciso aumentar o incidente com a organização apropriada e alterar a senha.
Os dispositivos móveis são tipicamente mais difíceis de explorar sem a interação do usuário, mas o uso expandido de códigos QR pode diminuir as defesas dos usuários.
Avaliar a legitimidade de um código QR poderia evitar um erro caro, estressante, demorado ou prejudicial. Vigilância é a chave.
Axis lança leitor de QR Code baseado na borda para controle de acesso
Cadastre-se para receber o IDNews
E acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!