Bancos e entidades reguladoras têm vindo a alertar para o aumento de esquemas de phishing que utilizam códigos QR, conhecidos como “quishing”. Estes ataques estão a contornar as defesas cibernéticas das empresas e a levar cada vez mais clientes a partilhar dados financeiros de forma inadvertida. Instituições como o Santander, HSBC e TSB juntaram-se ao Centro Nacional de Cibersegurança do Reino Unido e à Comissão Federal de Comércio dos EUA, entre outras, para alertar sobre o uso crescente de códigos QR fraudulentos em esquemas de fraude sofisticados.
Neste novo tipo de ataque por email, os criminosos enviam frequentemente códigos QR em PDFs anexados. Especialistas, citados pelo Ekonomista, explicam que esta técnica é eficaz porque muitas vezes os filtros de segurança cibernética — que normalmente bloqueiam links suspeitos — não conseguem detetar códigos QR em imagens anexas.
“O que atrai os criminosos é que isto contorna toda a formação [de segurança cibernética] e também ultrapassa os nossos produtos”, explicou ao Financial Times Chester Wisniewski, consultor sénior na empresa de segurança Sophos.
Investigadores e especialistas em prevenção de fraude afirmam que é difícil calcular os custos específicos do “quishing”, já que muitas vezes as empresas e os bancos não registam o formato dos links maliciosos. Além disso, estes emails podem ser apenas uma parte de um ataque cibernético mais complexo.
Uma pesquisa da IBM revelou, no entanto, que os ataques de “phishing” estão a tornar-se cada vez mais dispendiosos, com o custo médio global de uma violação de dados a aumentar em cerca de 10%, atingindo os 4,9 milhões de dólares em 2024.
A complexidade dos códigos QR
Códigos QR contêm dados, como URLs ou informações de pagamento, em código binário. Foram desenvolvidos pela empresa japonesa Denso Wave, em 1994, como uma ferramenta para rastrear peças automóveis. Embora os smartphones consigam ler rapidamente os códigos QR, estes são geralmente ilegíveis para o olho humano.
Apesar de muitos smartphones mostrarem uma pré-visualização do URL, os investigadores afirmam que este pequeno pop-up não é suficiente para os utilizadores perceberem se o link é fraudulento. Os ataques aproveitam-se do facto de que os códigos QR, pela sua natureza, são difíceis de interpretar visualmente, o que deixa as vítimas sem perceberem o destino do link até já ser tarde demais.
A popularidade dos códigos QR aumentou durante a pandemia de Covid-19, quando passaram a ser usados para aceder a informações como menus de restaurantes ou certificados de vacinação, o que contribuiu para o crescimento deste tipo de esquemas.
Ataques duplicam e expandem-se a novos alvos
Segundo uma pesquisa da empresa de segurança McAfee, mais de um quinto de todos os esquemas online no Reino Unido pode envolver códigos QR. A Action Fraud relata que as ocorrências deste tipo de fraude mais do que duplicaram no último ano, até agosto.
A Comissão Federal de Comércio dos EUA e várias autoridades locais no Reino Unido também alertaram para uma variante de “quishing” dirigida aos condutores: em certos casos, autocolantes com links fraudulentos foram colados sobre códigos QR legítimos utilizados para pagamentos de estacionamento, levando os utilizadores a sites falsos que solicitam dados ou instalam malware. Há relatos de códigos QR falsos colocados sobre os verdadeiros em locais como pontos de carregamento de veículos elétricos, estações de comboio e mesas de restaurantes.
Porém, os investigadores referem que o “quishing” é ainda mais comum através de emails, o que desafia as empresas de segurança cibernética a adaptar as suas defesas para enfrentar esta ameaça crescente.
Leia também: Britânica no Algarve há 18 anos: “Mesmo que tivesse de limpar WC’s por 2€/h, faria isso para poder ficar”