Imagine pagar US$ 16.000 para estacionar seu carro em um estacionamento por algumas horas. Foi o que aconteceu com uma mulher no Reino Unido que caiu em um golpe de código QR disponível em um estacionamento.
Conforme relatado pelo jornal The Independent, a leitura daquele código QR com seu telefone a levou a um site falso de pagamento de estacionamento que roubou as informações de seu cartão. Depois que seu banco bloqueou várias tentativas de transações fraudulentas, os golpistas entraram em contato diretamente com ela. Eles se fizeram passar pelo banco e a convenceram a abrir uma nova conta, acumulando o equivalente a US$ 16.000 em fundos roubados. Golpes como esse ganharam popularidade entre os criminosos.
Nos EUA, a Federal Trade Commission (FTC) alertou sobre uma nova onda de fraudes com códigos QR que resultaram em perda de fundos e roubo de identidade. Sem mencionar os dispositivos infectados com um excesso de spyware, ransomware e vírus. No entanto, mesmo que os golpes de código QR se tornem cada vez mais comuns, você pode se proteger. E aproveite também a conveniência que eles oferecem, pois podem realmente fazer com que muitas transações sejam realizadas com muito mais rapidez.
O que são os códigos QR?
Hoje em dia, você pode encontrá-los em praticamente qualquer lugar. QR significa “quick-response” (resposta rápida), ou seja, um código de resposta rápida. Eles se parecem com um quadrado de píxeis e compartilham muitas semelhanças com os códigos de barras que você vê em itens de supermercado e outros produtos.
No entanto, um código QR pode conter mais de 300 vezes os dados de um código de barras. Eles já existem há algum tempo. Remontando ao uso industrial na década de 1990, os códigos QR reúnem grandes volumes de informaçõesvisuais em um espaço relativamente compacto. Hoje em dia, você pode encontrá-los em muitos lugares. Com um clique da câmera do seu smartphone, eles podem levá-lo rapidamente a todos os tipos de sites. Você pode vê-los em anúncios de TV, em uma barraca de feira e grampeados em postes telefônicos dentro de um pôster de show. Os restaurantes colocam códigos QR em suas mesas para que você possa fazer o pedido pelo telefone.
Os estacionamentos os colocam em placas para que você possa pagar rapidamente por estacionar (como acima). Sua drogaria pode colocá-los nas prateleiras para que você possa fazer o download de um cupom digital. Qualquer pessoa pode criar um. Uma rápida pesquisa por “QR code creator” (gerador de código QR) traz dezenas de resultados. Muitos oferecem códigos QR gratuitamente.
Não é de se admirar que eles apareçam em restaurantes e mercados de produtores da forma como aparecem. E agora também em golpes. Como acontece em qualquer lugar em que pessoas, dispositivos e dinheiro se encontram, os golpistas estão se infiltrando nos códigos QR. Com o golpe do código QR, apontando a câmera do seu smartphone para um QR falso e digitalizando-o, os golpistas podem levá-lo a sites maliciosos e cometer outros ataques ao seu telefone.
Como funcionam os golpes de código QR?
De várias maneiras, o golpe do código QR funciona como qualquer outro ataque de phishing. Com algumas peculiaridades adicionais, é claro. Um clássico: os ataques de phishing usam links adulterados que se fazem passar por sites legítimos na esperança de que você os siga até o site malicioso de um golpista.
É praticamente a mesma coisa com um código QR, mas eles têm algumas grandes diferenças:
- O próprio código QR. Não há realmente nenhuma maneira de olhar para um código QR e determinar se ele é legítimo ou não. Você não consegue identificar erros ortográficos inteligentes, erros de digitação ou adaptações de um URL legítimo.
- Em segundo lugar, os códigos QR podem acessar outras funcionalidades e aplicativos em alguns smartphones. Os golpistas podem usá-los para abrir aplicativos de pagamento, adicionar contatos, escrever um texto ou fazer uma chamada telefônica quando você escaneia um código QR falso.
O que acontece se eu clicar em um código QR falso?
Em geral, uma de duas coisas:
Você será direcionado a um site fraudulento criado para roubar suas informações pessoais e financeiras. Por exemplo, um código QR falso para estacionamento o leva a um site onde você insere seu cartão de crédito e o número da placa do carro. Em vez de pagar pelo estacionamento, você paga a um golpista. E eles podem continuar usando seu cartão de crédito em outros lugares depois disso.
Você pode acabar fazendo um download que infecta seu dispositivo com malware. Os downloads incluem spyware que espiona sua navegação e suas senhas, ransomware que bloqueia seu dispositivo até que você pague pela liberação (sem garantias) ou vírus que podem excluir ou danificar os itens que você armazenou no dispositivo.
Onde aparecem os códigos QR falsos?
Além de aparecerem em e-mails, mensagens diretas e anúncios em redes sociais, há muitos outros lugares onde códigos QR falsos podem aparecer. Eis alguns que estão circulando em particular:
- Locais em que um golpista pode ter substituído um código QR legítimo por um falso, em locais públicos, como aeroportos, pontos de ônibus e restaurantes.
- No seu para-brisa, na forma de multas de estacionamento falsas criadas para fazê-lo pensar que estacionou ilegalmente e precisa pagar uma multa.
- Eles também podem aparecer em panfletos, anúncios falsos nas ruas e até mesmo ofertas falsas de consolidação de dívidas por e-mail.
A leitura de um código QR pode abrir uma notificação na tela do seu smartphone para que você siga um link. Como em outros golpes de phishing, os golpistas farão o possível para que esse link pareça legítimo. Eles podem alterar o nome de uma empresa conhecida para que pareçareal.
Além disso, eles podem usar encurtadores de links que pegam URLs longos e os comprimem em poucos caracteres. O truque é que você realmente não tem como saber para onde ele o levará só de olhar para ele. Dessa forma, o uso de códigos QR é mais do que simplesmente “apontar e disparar”. É necessário um misto de cautela e consideração com olhos de águia para identificar os usos legítimos dos maliciosos. O software de proteção online também pode ajudar a mantê-lo seguro.
Como evitar fraudes com códigos QR
Felizmente, você pode seguir algumas regras básicas e evitar ataques de código QR. O U.S. Better Business Bureau (BBB) elaborou uma excelente lista que pode ajudar . O conselho deles é certeiro, que parafraseamos e acrescentamos aqui:
1. Não abra links nem leia códigos QR de estranhos. Os golpistas enviam códigos QR por e-mail, pelas redes sociais e, às vezes, até mesmo por correio físico como parte de um truque do tipo “Oferta especial, basta escanear aqui”. Em suma, se um código QR chegar até você do nada, mesmo que seja de um amigo, não o leia. Veja se, em vez disso, você pode digitar um endereço físico de um site fidedigno.
2. Verifique o link e o destino. Como muitos códigos QR levam a sites de phishing, observe o link que aparece depois que você o escaneia. Os golpistas alteram os endereços de sites conhecidos de forma sutil ou totalmente diferente deles. Por exemplo, eles podem usar “fed-exdeliverynotices.com” em vez do legítimo fedex.com. Ou eles podem usar um URL fraudulento seguido de um texto que tenta fazer com que pareça legítimo, como “scamsite.com/fedex-delivery” (para saber mais sobre como identificar ataques de phishing, confira nosso artigo completo sobre o assunto).
3. Pense duas vezes antes de seguir links encurtados. Os links encurtados podem ser um atalho para um site malicioso. Esse pode ser o caso, principalmente, de comunicações não solicitadas. E ainda pode ser o caso de um amigo ou membro da família se o dispositivo ou a conta dele tiver sido hackeado.
4. Cuidado com a adulteração. Em espaços físicos, como placas de estacionamento, os golpistas são conhecidos por colocar seus próprios códigos QR sobre os legítimos. Se você vir algum sinal de alteração ou um posicionamento que pareça desleixado, não faça a varredura desse código.
5. Use o leitor de código QR próprio do seu telefone. Fique longe de aplicativos de leitura de código QR. Eles podem ser um risco à sua segurança.
6. Não pague contas com códigos QR. Mais uma vez, você nem sempre pode ter certeza de que o código o enviará para um site legítimo. Em vez disso, use outra forma de pagamento confiável.
7. Use a proteção antifraude em seu telefone. Usando o poder da IA, nossa nova proteção antifraude da McAfee pode alertá-lo quando textos de golpes aparecerem no seu telefone. Bloquearemos os sites de risco se você clicar acidentalmente em um link fraudulento dentro de um texto, e-mail, redes sociais e muito mais.Você encontrará isso nos nossos produtos McAfee+ – juntamente com a cobertura contra roubo de identidade e suporte de restauração de identidade disponível em alguns mercados, caso o infortúnio aconteça com você.
Códigos QR: uma ferramenta útil e prática que ainda exige cautela
Os códigos QR facilitaram muito as transações e o acesso a conteúdo útil em nossos telefones. Por isso, os vemos em muitos lugares. E, como são úteis, assim como outros meios de pagamento ou navegação online, você deve ficar atento ao usá-los. Com esse conselho como guia, se algo não parecer certo, mantenha seu smartphone no bolso e longe do código QR.
Mantenha-se atualizado
Siga-nos para se manter atualizado sobre a McAfee e ficar por dentro das mais recentes ameaças à segurança móvel e do consumidor.
