É difícil dizer com exatidão quando os QR Codes chegaram às mãos dos usuários finais. A tecnologia — cujo nome é uma abreviação para quick response codes ou códigos de resposta rápida — é de origem japonesa e foi desenvolvida para uso industrial, sendo uma forma mais ágil encontrada pelos engenheiros da Denso (fabricante de peças automotivas) de rastrear a logística dos componentes durante as diversas etapas de manufatura. A solução encontrada era muito mais prática do que os códigos de barras.
Em algum momento, a ideia saiu das plantas industriais e ganhou usos mais comerciais, com smartphones se tornando capazes de ler as informações codificadas de tal forma. Porém, não é exagero afirmar que os QR Codes só ganharam notoriedade após a pandemia da COVID-19. Bares e restaurantes tiveram que adotar menus digitais, com a clientela acessando tais arquivos através dos códigos em questão. No Brasil, o Pix também ajudou a popularizar a tecnologia dentro dos meios de pagamentos.
Como sempre acontece com novas tendências tecnológicas, não demorou muito para que o crime cibernético percebesse tal popularidade e resolvesse se aproveitar dos QR Codes para elaborar golpes e lesar internautas desavisados. De acordo com um recente levantamento da HoxHunt, só nas duas primeiras semanas de outubro, foi identificado um aumento de 22% no número de campanhas de phishing que utilizam esses códigos. Tais atividades já têm até um nome definido: quishing.
Pois é — depois do phishing, vishing e smishing, temos agora a onda do quishing, que nada mais é do que a disseminação de QR Codes maliciosos que redirecionam o usuário para uma página que pode distribuir malwares ou incentivar a entrega voluntária de dados pessoais em um formulário falso. Para que as campanhas sejam bem-sucedidas, os golpistas se aproveitam do fato de que, na maioria das vezes, os leitores de códigos dos smartphones abrem o link de destino de maneira instantânea, sem qualquer checagem.
Tal como outros ataques dependentes de engenharia social, o quishing pode ocorrer de forma 100% digital ou ser parcialmente físico. No primeiro cenário, os QR Codes maliciosos são distribuídos em emails, redes sociais, aplicativos de mensagens instantâneas e sites falsos. No segundo, os criminosos podem chegar ao nível de colar códigos em locais públicos (substituindo os oficiais de restaurantes e bares, por exemplo) ou privados (invadindo escritórios ou plantas industriais).
Embora seja o mais preocupante, é importante ressaltar que o quishing não é a única forma maliciosa que o crime cibernético encontrou para explorar os QR Codes. Também temos o QRLJacking, ataque da categoria “man-in-the-middle” (MitM) no qual o golpista se aproveita de serviços online que permitem login através da leitura desses códigos. Através da interceptação entre o dispositivo da vítima e o servidor da aplicação em questão, eles injetam códigos falsificados que roubam suas credenciais e token de sessão.
Para que o QRLJacking funcione, porém, é preciso que a aplicação esteja vulnerável a tal tipo de golpe — e, acredite, houve um tempo no qual grandes redes sociais e mensageiros sofreram com tal erro em suas infraestruturas. Ainda assim, é bom ficar de olho e utilizar apps de leitura que revelam o real conteúdo por trás de um QR Code.
Com a jornada educacional da Eskive criada por especialistas no assunto e o catálogo de ataques simulados sempre atualizado de acordo com as últimas tendências do crime cibernético, fica mais fácil garantir que seus colaboradores estejam cientes das ameaças que envolvem a leitura indiscriminada de QR Codes.
Com nossa metodologia proprietária orientada a dados, é possível ainda ter uma visão holística sobre os índices de engajamento e de comportamento inadequado, possibilitando um rápido ajuste em sua estratégia de proteção à informação. Não à toa, a Eskive foi agraciada com o quarto lugar no ranking Top 10 da 100 Open Startups 2023, dentro da categoria estreante “Cibersegurança e Identidade”.
Converse conosco e entenda como podemos ajudar!