Share the post "Quishing: há cada vez mais burlas com recurso a códigos QR"
Bancos e diversas entidades reguladoras estão a alertar que os esquemas de phishing com códigos QR — também conhecidos como “quishing” — estão a escapar das defesas cibernéticas corporativas e a enganar cada vez mais clientes para que forneçam os seus dados financeiros.
Instituições como o Santander, HSBC e TSB uniram-se ao Centro Nacional de Cibersegurança do Reino Unido e à Comissão Federal de Comércio dos EUA, entre outros, para expressar preocupação com o aumento dos códigos QR fraudulentos utilizados em campanhas de fraude sofisticadas.
Este novo tipo de esquema por email frequentemente envolve criminosos a enviar códigos QR em PDFs anexados. Especialistas afirmam que esta estratégia é eficaz porque as mensagens frequentemente passam pelos filtros de segurança cibernética corporativa — softwares que tipicamente assinalam links maliciosos, mas que frequentemente não examinam imagens nos anexos.
“O apelo para os criminosos é que isto contorna toda a formação [de segurança cibernética] e também ultrapassa os nossos produtos”, disse do Finantial Times Chester Wisniewski, um consultor sénior na empresa de software de segurança Sophos.
Investigadores e gestores de fraude dizem que é difícil estimar os custos do “quishing”, pois as empresas de segurança cibernética e os bancos geralmente não registam o formato dos links maliciosos, e esses emails podem ser apenas um elemento num ataque cibernético mais amplo.
No entanto, uma pesquisa da IBM descobriu que os ataques de “phishing” são cada vez mais dispendiosos para as empresas, com o custo médio global de uma violação de dados a aumentar quase 10 por cento, para 4,9 milhões de dólares em 2024.
Códigos QR: difíceis de interpretar visualmente
Os códigos QR contêm dados, como URLs ou informações de pagamento, em código binário. Inventados pela empresa japonesa Denso Wave em 1994 como uma ferramenta para rastrear peças automóveis, estes códigos são projetados para serem rapidamente legíveis por máquinas, especialmente smartphones, mas geralmente são ilegíveis para humanos.
Embora a maioria dos smartphones mostre uma pré-visualização curta do URL contido num código QR digitalizado, investigadores dizem que este pop-up geralmente não é suficiente para os utilizadores detetarem que um link pode ser fraudulento.
Estes ataques tiram proveito do facto de que os códigos QR, por natureza, são difíceis de interpretar visualmente. Como tal, as vítimas muitas vezes não sabem para onde estão a ser direcionadas até ser tarde demais.
Os bancos afirmam que a prevalência deste tipo de esquema acelerou desde que os códigos QR ganharam ainda mais popularidade durante a pandemia de Covid-19, quando eram usados para exibir desde passaportes de vacinação até menus de restaurantes.
Ataques mais do que duplicaram
Uma pesquisa da empresa de software de segurança McAfee descobriu que mais de um quinto de todos os esquemas online no Reino Unido provavelmente têm origem em códigos QR. De acordo com a Action Fraud, os relatos de esquemas com códigos QR no Reino Unido mais do que duplicaram no ano até agosto deste ano.
A Comissão Federal de Comércio dos EUA, bem como várias autoridades locais em todo o Reino Unido, também alertaram este ano sobre um tipo específico de esquema de “quishing” que visa condutores, incluindo casos em que autocolantes que direcionam os utilizadores para sites fraudulentos foram colocados sobre códigos QR legítimos usados para pagar estacionamento.
Estes links podem direcionar os utilizadores para um site incorreto e pedir que insiram os seus dados ou levá-los a descarregar malware. As vítimas também relataram códigos QR fraudulentos colocados sobre os legítimos em pontos de carregamento de veículos elétricos, estações de comboio e mesas de restaurantes.
Mas os investigadores dizem que os esquemas de “quishing” são mais frequentemente utilizados em emails — uma ameaça que tem pressionado os fornecedores de segurança corporativa a adaptar as suas defesas online.