Cresce o uso de QRcode como isca de phishing

QRcode, que está se popularizando como  forma de fazer pagamentos, acessar páginas Web ou até mesmo cardápios mais rapidamente, vem sendo cada vez mais usado como isca para tentativas de roubo de credenciais da Microsoft e de outros dados de usuários. Entre os meses de setembro e outubro, a Abnormal, que oferece soluções de proteção para e-mails, identificou e bloqueou quase 200 mensagens em uma campanha de phishing contra clientes da empresa que tentava coletar credenciais da Microsoft.

A novidade dessa vez é que as mensagens continham QRcodes que supostamente davam acesso a um correio de voz, mas, na verdade, era uma isca para coletar dados pessoais. Esse tipo de ataque ganhou o nome de “Quishing”.  Segundo a Abnormal, as imagens de QRcode haviam sido criadas no mesmo dia em que foram enviadas, dificultando o reconhecimentos por eventuais listas de bloqueio de segurança. No total, foram usados seis perfis ​​para enviar as mensagens da campanha. Além disso, os invasores se valeram de contas de e-mail comprometidas, explorando a infraestrutura legítima do Outlook da organização-alvo para enviar as mensagens.  

Essa campanha teve uma versão anterior que usava uma URL atrás de uma imagem que parecia ser de um arquivo de áudio. No entanto, a tática foi detectada e identificada como ameaça por serviços de cibersegurança. A saída foi então usar QRcodes em uma segunda rodada de tentativas.

Essa técnica já havia sido identificada pela organização mediadora de negócios Better Business Bureau, que lançou um alerta sobre o uso de QRcodes em ataques via e-mail – como não podem ser interpretados pelo olho humano, tornaram-se uma forma eficiente para disfarçar links mal-intencionados. Ao receber um e-mail ou mesmo uma mensagem nas redes sociais ou via SMS, o usuário, com quase toda certeza, lerá o código com a câmera do celular, que então abrirá um link para um site de phishing. Pronto, bastam apenas alguns segundo para que as informações pessoais ou credenciais de login sejam repassadas para os golpistas.

O Better Business Bureau dá algumas dicas de como evitar golpes envolvendo QRcodes:

• Confirme a origem: Mesmo se vier de um conhecido via e-mail ou na página das redes sociais, entre em contato com a pessoa antes de ler o código QR. Esse indivíduo pode ter tido suas credencias roubadas.
  
• Não leia QRcode vindo de estranhos: Mesmo que prometa coisas incríveis, não caia na isca.

• Desconfie de links curtos: Se surgir uma URL curta quando o QRcode for lido, não será possível identificar para onde você será direcionado.

• Fique atento a materiais publicitários possivelmente adulterados: Alguns golpistas alteram anúncios legítimos inserindo QRcodes.

• Instale um leitor de QRcode com recursos de segurança: Algumas empresas de antivírus oferecem aplicativos de leitura de QRcode que verificam a segurança do respectivo link antes de abri-lo.

Alertas sobre privacidade

Em um artigo em seu blog , Eric Rescorla, diretor de tecnologia do navegador Firefox, destaca problemas de privacidade relacionados com o QRcode. Durante a pandemia, essa tecnologia ganhou popularidade por permitir, por exemplo, a leitura de cardápios, sem ser necessária a manipulação da versão em papel potencialmente contaminada.

Entender como o QRcode funciona é fundamental para aprender como garantir a priavacidade. Trata-se simplesmente de uma maneira de codificar informações, como URLs em um formato legível para a câmera do telefone celular que, na maioria dos casos, abre automaticamente o navegador na respectiva página.

Não podemos dizer que o problema esteja com o QRcode, pois é um elemento estático, mas sim com as páginas Web para as quais ele aponta e que podem estar repletas de mecanismos de rastreamento, principalmente na forma de cookies. No caso deo QRcode usado para cardápios, por exemplo, o site de destino pode ser mais do que um menu e também já aceitar pedidos e guardar a preferência de consumo. Dependendo de como a página Web for desenvolvida, o comportamento do usuário poderá ser rastreado em vários restaurantes para construir uma imagem do comportamento alimentar do consumidor.

É óbvio que nosso comportamento na Web já é rastreado há muito tempo e por vários métodos. No entanto, há um modo simples, segundo Rescorla, para escapar da possível vigilância dessas páginas. Podemos abri-las páginas no modo privado do navegador para criar uma sessão temporária, fazendo com que o histórico de navegação e os dados associados à sessão, entre eles, os como cookies, sejam apagados quando a sessão for encerrada. Segundo o diretor do Firefox, a maioria dos QRcodes não estão atualmente direcionando os usuários para sites que querem rastreá-los, mas para aqueles que prezam pela privacidade, e mesmo pela segurança, vale a pena se proteger. Além disso, nunca se sabe quanto tempo durará esse cenário mais ingênuo em relação à privacidade e o uso de QRcodes.