Criminosos têm usado QR-Code para instalar artefatos maliciosos nos dispositivos das vítimas. Além de espalhar QR-Codes em locais públicos, eles também têm usado a tática de substituir o código utilizado para acesso ao cardápio em restaurantes e lanchonetes.
É comum restaurantes e outros tipos de estabelecimentos de refeições disponibilizarem nas mesas, ou em outros objetos sobre ela, QR-Code para que o cliente escaneie e tenha acesso a serviços como o cardápio digital. É aí que entra o criminoso: ele coloca um outro QR-Code sobre o original e quando as pessoas pensam estar acessando o serviço do estabelecimento, na verdade, são direcionadas para sites maliciosos.
Se o dono do dispositivo estiver desatento, e avançar para as etapas seguintes, o risco é evidente. Para que qualquer instalação ocorra é necessário, em tese, além de escanear o QR-Code, seguir o direcionamento indicado por ele. Geralmente, após seguir o direcionamento, é preciso permitir que a instalação ocorra. Ou seja, há pelo menos duas chances de impedir que isso ocorra, em caso de ser algo suspeito ou não confiável. Mas, na maioria das vezes, há negligência, provocada pela curiosidade, em entender que o direcionamento ou a instalação de um aplicativo possa ser malicioso. Contudo, já há casos que somente a captura do QR-Code já seria suficiente para infecção da ação delitiva.
A prevenção se resume a uma palavra: desconfie. Além disso, a dica é não autorizar qualquer acesso ou instalação que não seja estritamente solicitada e conhecida. Por exemplo, em um restaurante que use cardápio virtual a partir de um QR-Code, o direcionamento deve ser para o cardápio e não deve solicitar qualquer instalação. Caso isso ocorra, cancele e avise quem estiver lhe atendendo. Isso vale para qualquer outro serviço, inclusive para pagamentos via PIX, mesmo lendo o QR-Code no local. Sempre confira o beneficiário da transação e, não sendo o estabelecimento ou a pessoa para quem você deve realizar o pagamento, cancele imediatamente, avise que aquele QR-Code pode ter sido alterado.
Também há dicas para quem é empresário: verifique constantemente os QR-Codes disponibilizados em seus estabelecimentos. A análise deve ser minuciosa, como checar se há algum adesivo [método utilizado pelos criminosos] com outro QR-Code colocado sobre o legítimo. “Havendo necessidade de troca do QR-Code, faça a reimpressão e nunca a correção justamente com adesivos.
Isso abre margem para que criminosos se aproveitem da situação e dificulta que o cliente desconfie de alguma inconformidade ou suspeita de adulteração. Não permitam que QR-Codes estranhos sejam disponibilizados em qualquer ambiente da empresa, como interior de banheiros, recepções, refeitórios ou mesmo na fachada do estabelecimento.
Visualmente, não dá para identificar um QR-Code falso, mas a orientação é desconfiar sempre que identificar problemas na apresentação dele. Se perceber que o QR-Code está sendo apresentado em etiqueta colada sobre outro, é um indício forte de que pode se tratar de uma adulteração para fraude.
Para quem é curioso, o alerta é dobrado, pois criminosos podem espalhar QR-Codes em locais aleatórios. Essa tática já foi utilizada anteriormente, mas com pendrives. Você já encontrou algum pendrive na rua? Nessa situação, descartaria ou levaria para casa e colocaria no computador para verificar o conteúdo? Percebeu como a curiosidade pode fazer com que você leve o vírus para sua máquina? Com o QR-Code é a mesma tática, ele serve de isca para os curiosos.
QR-Codes colocados aleatoriamente pela cidade, como em placas ou postes, não atrelados a uma publicidade, também podem ser parte de um golpe que chamamos tecnicamente de baiting, que se trata de deixar uma isca para que curiosos queiram saber o que é e acabem instalando um aplicativo malicioso para que seja possível realizar um golpe ou outra atividade criminosa. Mesmo os QR-Codes utilizados em publicidades precisam ser tratados com cuidado. O acesso não deve solicitar a instalação e qualquer aplicativo, por tratar-se de peça publicitária, e caso isso aconteça deve-se cancelar a operação imediatamente. Ainda que a publicidade requeira a instalação de um aplicativo isso deve ser explicitado de forma clara, explicando o objetivo e para que aquele aplicativo serve. Sempre desconfie.
Orientação de Segurança: Como se Proteger de Golpes de QR Code
Delegados de Polícia informam que é fundamental os cidadãos usarem as melhores práticas para evitar golpes de QR Code, que se tornaram comuns em diversos locais, incluindo restaurantes, lojas e demais locais. Aqui estão alguns tópicos detalhados sobre como se proteger:
1. Verificação Visual do QR Code
- Observe o QR Code: Antes de escanear, verifique se o QR Code parece estar em uma superfície original. Fique atento a adesivos ou etiquetas que parecem ter sido colados sobre o código original.
- Verifique a Autenticidade: Se estiver em um restaurante ou estabelecimento, pergunte aos funcionários se o QR Code é genuíno e autorizado pelo estabelecimento.
2. Utilize Aplicativos de Confiança
- Aplicativos Oficiais: Use aplicativos de leitura de QR Code confiáveis e atualizados, preferencialmente os fornecidos pelo sistema operacional do seu smartphone ou de empresas reconhecidas.
- Atualizações Regulares: Mantenha seus aplicativos e sistema operacional sempre atualizados para garantir que você esteja protegido contra as ameaças mais recentes.
3. Cuidado com Informações Solicitadas
- Evite Fornecer Dados Pessoais: Após escanear um QR Code, não forneça informações pessoais, financeiras ou sensíveis, a menos que tenha certeza da legitimidade do site.
- Alerta para Sites Duvidosos: Se o site solicitar informações incomuns ou desnecessárias, saia imediatamente da página.
4. Uso de Redes Seguras
- Evite Redes Públicas: Sempre que possível, utilize redes Wi-Fi seguras e evite redes públicas ou desconhecidas ao escanear QR Codes.
- VPNs: Considere o uso de uma VPN (Virtual Private Network) para aumentar a segurança da sua conexão.
5. Verificação do Link
- Cheque o URL: Após escanear o QR Code, verifique o URL para garantir que ele leva a um site seguro. Sites seguros geralmente começam com “https://” e têm um cadeado ao lado do endereço.
- Confiança no Domínio: Prefira sites com domínios conhecidos e evite clicar em links com URLs encurtados ou estranhos.
6. Mecanismos de Segurança no Dispositivo
- Ative a Autenticação de Dois Fatores (2FA): Sempre que possível, utilize a autenticação de dois fatores em suas contas para aumentar a segurança.
- Antivírus: Utilize um software antivírus confiável em seu smartphone para proteger contra malwares e outras ameaças.
7. Educação e Conscientização
- Compartilhe Informações: Informe amigos e familiares sobre os riscos e como se proteger contra golpes de QR Code.
- Mantenha-se Atualizado: Esteja atento às notícias sobre novos tipos de golpes e técnicas de segurança.
8. Relato de Incidentes
- Denuncie: Caso suspeite de um golpe, denuncie imediatamente à polícia e ao estabelecimento onde o QR Code foi encontrado.
- Documentação: Guarde qualquer prova, como capturas de tela e URLs, para auxiliar na investigação.
Ao seguir essas orientações, poderá se proteger melhor contra golpes de QR Code e garantir que suas informações pessoais e financeiras estejam seguras.
DELEGADOS.com.br
Portal Nacional dos Delegados & Revista da Defesa Social