Tecnologia em palavras simples

Quishing: Como Evitar Ataques de Phishing com Códigos QR

Imagem em Destaque: Ataques de Quishing (phishing com código QR)

Os códigos QR se tornaram essenciais em nossas interações com pessoas e produtos. Um rápido escaneamento com seu telefone é tudo o que você precisa para trocar informações de contato, acessar locais e conferir mercadorias online. No entanto, seu uso generalizado atraiu criminosos cibernéticos que agora acham fácil criar códigos QR falsos e maliciosos, levando a uma nova ameaça de phishing conhecida como “quishing.” Aqui está nosso aviso sobre ataques de quishing com algumas dicas práticas para se proteger.

O que é Quishing?

Quishing, também conhecido como phishing com código QR, é uma ameaça cibernética que tira proveito da conveniência e popularidade dos códigos QR. Criminosos cibernéticos usam códigos QR falsos para enganar as pessoas a visitarem sites falsos. Eles podem então tentar acessar suas informações pessoais, como dados de login e senhas, instalar malware em seu dispositivo ou roubar suas informações financeiras.

De acordo com a Egress, entre 1º de janeiro e 31 de agosto de 2024, pelo menos 12% dos ataques de phishing envolveram códigos QR, um aumento acentuado em relação a apenas 0,8% em 2021. Esse aumento significativo em quishing é um testament à crescente ubíquidade da tecnologia QR. Além disso, kits de phishing na dark web, como “FishXProxy”, utilizam códigos QR como uma escolha popular para ataques de tomada de conta (ATO).

Escanear códigos QR maliciosos pode levar a ameaças de segurança, incluindo da dark web.

O fato é que realizar um ataque de quishing é relativamente fácil, uma vez que qualquer um pode gerar um código QR. Esses códigos podem ser colocados virtualmente em qualquer lugar – em panfletos, cartazes, camisetas, mochilas e através de ferramentas de phishing convencionais, como e-mails e redes sociais. A maioria das pessoas vê os códigos QR como inofensivos. Você está em risco apenas quando visita os sites falsificados vinculados a esses códigos.

Como Funciona o Phishing QR

O phishing QR capitaliza o uso generalizado de smartphones e códigos QR. Até mesmo laptops podem escanear esses códigos. Os atacantes precisam apenas criar um código QR que pareça legítimo e que direcione para um site malicioso ou arquivos de malware.

Criar um código QR com intenção maliciosa é a parte fácil. O desafio está em persuadir as pessoas a escanear essas imagens. É aqui que a engenharia social entra em cena. Os atacantes podem usar várias táticas de imitação, prometer recompensas ou criar um senso de urgência. Como resultado, numerosos tipos de ataques de quishing evoluíram. Os mais comuns incluem:

1. QRLJacking

Esta é a forma mais direta, mas difícil de detectar, de ataque de quishing. Criminosos cibernéticos criam um código QR vinculado a um site que imita de perto um aplicativo legítimo que exige acesso por código QR. Isso pode ser para aplicativos como WhatsApp, Discord, TikTok ou até mesmo seu site bancário.

QRLjacking levando a um site replicado falso do WhatsApp.

A maioria de nós não inspeciona os módulos de dados em preto e branco que codificam um site real, facilitando a enganação e a entrega de informações de login. Os atacantes então fazem upload do seu login recente para um servidor de phishing, dando a eles uma chance remota de assumir sua sessão mais tarde. Felizmente, habilitar a autenticação de dois fatores torna os ataques QRLJacking quase impossíveis de executar. Muitos sites monitoram tentativas de login suspeitas e alertarão você a tempo.

2. Phishing de Código QR em Texto Simples

Em uma tentativa de phishing de código QR em texto simples, os atacantes inserem códigos QR prejudiciais em e-mails, SMS e chats de redes sociais. O pior é que esses códigos podem parecer vir de contatos confiáveis, já que os atacantes podem ter ganho acesso às contas deles.

Phishing de código QR em texto simples inserido em um e-mail levando a uma conta falsa da Amazon.

O modus operandi é simples: os atacantes podem prometer uma recompensa lucrativa, embora muitos usuários estejam agora cientes de tais táticas. Alternativamente, eles podem alegar que houve tentativas de login suspeitas em um site como a Amazon. Na realidade, os atacantes estão tentando capturar suas informações de login através do código QR.

3. Formjacking

O formjacking é um método comum usado para roubar informações financeiras, como dados de cartão de crédito, atraindo usuários para sites desavisados. Os usuários podem diretamente submeter suas informações de pagamento, que são então roubadas usando um script malicioso na página.

Alternativamente, eles podem ser solicitados a preencher um formulário, muitas vezes disfarçado como uma pesquisa com recompensas prometidas, para coletar respostas a perguntas de segurança como data de nascimento, lugar de nascimento, nome da mãe e outros detalhes pessoais.

Possíveis ameaças de formjacking visíveis em uma tela grande.

Esse tipo de ameaça cibernética estava em declínio, pois a maioria dos usuários se tornou cautelosa em relação a sites de formulários maliciosos. No entanto, a recente popularidade dos códigos QR deu uma sensação de legitimidade a esses sites, revivendo a ameaça do formjacking.

4. Outros Tipos de Tentativas de Phishing QR

Existem vários outros tipos de tentativas de phishing QR que você pode encontrar inesperadamente. É essencial manter-se vigilante e ciente desses métodos.

  • Phishing QR com Malware: esses códigos QR direcionam você para sites carregados de malware ou iniciam o download de trojans ou rootkits maliciosos. O objetivo é obter acesso não autorizado aos recursos do seu sistema. Usar software antivírus com recursos como firewall, proteção de e-mail e web, e defesa contra phishing pode ajudar a proteger contra essas ameaças.
  • Phishing QR de Criptomoedas: essas ferramentas estão amplamente disponíveis na dark web. Elas atraem usuários desavisados a visitarem sites que parecem inofensivos, que então injetam scripts maliciosos que permanecem indetectáveis. Os scripts exploram o sistema alvo para minerar criptomoedas sem o consentimento do usuário. Como resultado, o usuário pode experimentar dias de desempenho lento no PC, reinicializações frequentes e outros problemas de desempenho.
  • Phishing QR baseado em Macros: embora relativamente incomum hoje em dia, o truque antigo de embutir macros em documentos do Excel, Word ou PDF para instalar malware ou roubar informações agora tem uma reviravolta com códigos QR. No entanto, tais arquivos devem ser automaticamente bloqueados em dispositivos com software antivírus atualizado ou smartphones atualizados.

Por que é tão Fácil Cair Victim de um Ataque de Quishing

É claro que cair vítima de uma tentativa de phishing com código QR é relativamente comum. Aqui estão algumas razões pelas quais os golpistas usam essa ferramenta enganosa com sucesso, e por que você deve se tornar mais vigilante em relação a essas ameaças.

  • Confiança implícita em códigos QR: a digitalização de códigos QR é uma tecnologia relativamente nova e na moda, e muitos usuários confiam inerentemente nela devido à falta de conscientização sobre ameaças potenciais. É importante lembrar que os códigos QR responderam por quase 12% de todas as tentativas de phishing. Confiar cegamente em códigos QR é coisa do passado.
  • Imitação de marca é fácil: é fácil imitar marcas populares como Telegram, WhatsApp, TikTok, Amazon e muitas outras. A maioria dos usuários não verifica se um URL é legítimo. Por exemplo, um site como “AmazonAws.com” pode parecer confiável, mas na verdade é um site malicioso sem conexão com a Amazon ou Azure. Isso dá aos golpistas a vantagem em certas situações.
  • Links invisíveis: a maioria dos usuários tem cautela ao visitar URLs encurtadas e links desconhecidos. No entanto, com um código QR, esses links estão ocultos atrás de uma imagem que parece legítima. Isso dá uma sensação indevida de credibilidade a links que não deveriam ser visitados em primeiro lugar.

Como Evitar um Ataque de Quishing

Os códigos QR estão em toda parte, aparecendo em outdoors, envelopes lacrados, roupas, acessórios e por toda a web e redes sociais. Embora apenas uma pequena fração desses códigos possa conter links maliciosos, pode parecer que se tornar uma vítima é inevitável. Mas não precisa ser assim. Ao tomar as seguintes precauções, você pode se manter seguro contra ataques de quishing.

  • Use apenas fontes confiáveis: Se você estiver usando um código QR exibido de forma proeminente em um restaurante, shopping ou local de concerto, é provável que seja legítimo. É evidente que esses códigos QR são destinados a uso público amplo. Em contraste, códigos QR recebidos por e-mails, redes sociais e links aleatórios da web exigem mais verificação.
  • Evite códigos QR aleatórios: você pode encontrar códigos QR aleatórios em panfletos, embalagens e outros lugares que não agregam muito valor ao seu trabalho. Evite escanear esses códigos.
  • Antes de clicar, visualize o código QR: quase todos os aplicativos de escaneamento QR permitem que você visualize o código QR antes de clicar. Se o link parecer suspeito, resista à tentação.
  • Ative a autenticação de dois fatores: a utilização da autenticação de dois fatores é uma grande barreira contra tentativas de quishing em aplicativos e sites populares.
  • Consciência constante: à medida que fraudes de phishing com código QR emergem como uma ameaça significativa à segurança, manter-se atualizado com as últimas notícias de cibersegurança pode fornecer insights valiosos sobre novas variantes de ameaças.

Neste guia, vimos o que é quishing e como você pode se proteger de um ataque de quishing. É apenas uma forma de ataques de phishing: existem muitos outros, como aqueles que visam compradores na Black Friday. Você também deve ter cuidado com fraudes no dia da Amazon Prime.

Conteúdo

  1. O que é Quishing?
  2. Como Funciona o Phishing QR
  3. 1. **QRLJacking**
  4. 2. Phishing de Código QR em Texto Simples
  5. 3. Formjacking
  6. 4. Outros Tipos de Tentativas de Phishing QR
  7. Por que é tão Fácil Cair Victim de um Ataque de Quishing
  8. Como Evitar um Ataque de Quishing
Painel do Ello

Ello: Explorando a Rede Social Privada

Bitdefender Não Instalando: 3 Soluções Fáceis que Você Pode Usar

Mais sobre as Soluções do Bitdefender

Google Descontinuando o Inbox e Dando a Ele Seis Meses de Vida

aspect-ratios-16x9

Entendendo as Proporções de Vídeo

Gerenciador de Arquivos com Etiquetas para Organizar seus Arquivos: Top 5

Corrigir wake on LAN não funcionando

Wake On LAN Não Funcionando no Windows [Resolvido]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS e Consoles no Mac

Google testa novo recurso do Chrome para elegibilidade de atualização para Windows 11