Blog Infonova

Informação para tomada de decisão

Resultado da pesquisa por: ""

Riscos do QR Code – Proteja-se

Por Juliana Gaidargi em 6/11/2020 em Segurança

Sabia que existem riscos do QR Code que não costumam ser mencionados? Hoje em dia, os crackers estão se aproveitando do aumento no uso dessa ferramenta. Eles o fazem para roubar informações confidenciais ou conduzir campanhas de phishing. Confira a seguir tudo o que as equipes de segurança e os funcionários precisam saber.

A pandemia de coronavírus impactou bastante a tecnologia. E um deles foi o aumento no uso de QR Code. Naturalmente, os crackers estão aproveitando essa oportunidade. Contudo, essa tecnologia móvel tem muitas vulnerabilidades. Portanto, as equipes de segurança precisam estar atentas a mais essa ameaça.

riscos do qr code

Pesquisa MobileIron

Os dados a seguir pertencem ao relatório de pesquisa do provedor de plataforma de segurança móvel MobileIron. O levantamento data de setembro de 2020. 

Segundo a pesquisa, os riscos do QR Code são “significativos” para empresas e usuários finais. A empresa entrevistou mais de 2.100 consumidores nos EUA e no Reino Unido. Quase metade (47%) notou um aumento no uso do QR Code. Isso ocorre porque os códigos facilitam a vida. Principalmente em um mundo no qual as transações sem contato se tornaram necessárias.

A maioria dos entrevistados, 84%, disseram que leram um QR Code três vezes mais que o normal. Mas onde isso acontece? Os consumidores leram códigos em:

  • Lojas de varejo;
  • Restaurantes;
  • Bares e outros estabelecimentos.

Além disso, muitos querem ver os QR Codes usados ​​de forma mais ampla. Ou seja, que se torne o método de pagamento no futuro.

Dispositivos pessoais

Contudo, mais pessoas estão usando seus próprios dispositivos inseguros para:

  • Se conectar com outras pessoas;
  • Interagir com uma variedade de aplicativos e serviços baseados em nuvem;
  • Permanecer produtivos enquanto trabalham remotamente. 

Ou seja, essas pessoas estão colocando a si próprios e os recursos da empresa em risco.

A exploração de QR Code é simples e eficaz

Os invasores estão aproveitando as brechas de segurança durante a pandemia. Para isso, visam cada vez mais dispositivos móveis com ataques sofisticados. Afinal, os usuários costumam se distrair quando estão em seus dispositivos móveis. E isso os torna mais propensos a serem vítimas de ataques.

Riscos do QR Code

Os invasores podem incorporar facilmente uma URL maliciosa. Esta, por sua vez, pode conter malware personalizado em um QR Code. Dessa forma, é possível infiltrar dados de um dispositivo móvel quando verificado. 

Além disso, eles também podem incorporar uma URL maliciosa em um QR Code que direcione para um site de phishing. Afinal, estes são especialistas em fazer com que usuários divulguem suas credenciais.

“Por sua própria natureza, os QR Codes não são legíveis por humanos. Portanto, a capacidade de alterar um QR Code para apontar para um recurso alternativo sem ser detectado é simples e altamente eficaz ” – Alex Mosher, vice-presidente global da MobileIron.

Reconhecimento 

Quase ¾ dos entrevistados não conseguem distinguir entre um QR Code legítimo de um malicioso. A maioria está ciente de que os QR Codes podem abrir uma URL. Contudo, não sabem quais outras ações os QR Codes podem iniciar.

Portanto, os ataques a dispositivos móveis ameaçam indivíduos e empresas.

“Um ataque bem-sucedido ao dispositivo móvel pessoal de um funcionário pode resultar no comprometimento das informações pessoais; ou no esgotamento dos recursos financeiros, bem como no vazamento de dados corporativos confidenciais” – Mosher.

Como os invasores exploram os riscos do QR Code

Um dos maiores riscos do QR Code é o elemento surpresa. Afinal, quase ninguém imagina um ataque através dessa ferramenta. 

“Não estou ciente de nenhum ataque direto aos QR Codes. Contudo, há muitos exemplos de invasores que utilizam seus próprios QR Codes no decorrer dos ataques”, explica Chris Sherman, analista sênior do setor da Forrester Research.

“O principal problema é que os códigos QR podem iniciar várias ações no dispositivo do usuário. Como, por exemplo, abrir um site, adicionar um contato ou redigir um e-mail. Entretanto, o usuário geralmente não tem ideia do que acontecerá quando ler o código. Normalmente, você pode visualizar o URL antes de clicar nele. Contudo, nem sempre é o caso com os códigos QR.” – Sherman. 

Golpes mais comuns

Um ataque comum envolve colocar um QR Code malicioso em público. Em geral, encobrindo um QR Code legítimo. Então, os usuários desavisados ​​escaneiam o código. Em seguida, são enviados para uma página da web maliciosa. Esta, pode hospedar um kit de exploração, diz Sherman. Isso pode comprometer ainda mais o dispositivo. Ou, quem sabe, até conter uma página de login falsificada para roubar as credenciais do usuário.

“Essa forma de phishing é a mais comum de exploração de QR Code”, diz Sherman. Portanto, a exploração do QR Code leva ao:

  • Roubo de credenciais;
  • Comprometimento do dispositivo;
  • Sequestro de dados;
  • Vigilância maliciosa.

Estas são as principais preocupações dos riscos do QR Code. Tanto para empresas quanto para consumidores.

Dados pessoais

Afinal, se os QR Codes levarem a sites de pagamento, os usuários podem divulgar suas senhas. Isso, além de outras informações pessoais que podem cair em mãos erradas. 

“Muitos sites fazem download drive-by. Portanto, a mera presença no site pode iniciar o download de software malicioso.” – Rahul Telang, professor de sistemas de informação do Heinz College da Carnegie Mellon University.

Além disso, dispositivos móveis em geral tendem a ser menos seguros do que laptops ou computadores. “Os QR Codes são usados ​​em dispositivos móveis. Portanto, a possibilidade de vulnerabilidade também é maior.” – Telang

Contudo, muitos desses dispositivos são usados ​​no contexto de TI corporativa. Portanto, a infiltração dos dispositivos é um ponto fraco de segurança para as empresas. 

Exemplo:

O CEO de uma empresa de tecnologia britânica alertou o governo do Reino Unido. O problema eram potenciais falhas graves na segurança de informações pessoais e dados usados ​​em um novo aplicativo de rastreamento de contatos. Este, dependia da tecnologia de leitura de QR Code. 

A tecnologia estava sujeita a um processo chamado “attagging”, ou clonagem. Mas o que é um attagging?  É quando um QR Code genuíno é substituído por um QR Code clonado. Este, então, redireciona os usuários a um site semelhante. Lá, seus dados pessoais podem ser interceptados e violados.

Como reduzir os riscos do QR Code?

É possível tomar medidas para ajudar a reduzir os riscos do QR Code. Contudo, parte disso envolve o uso do bom senso.

Por exemplo:

Os usuários podem fazer determinações sobre a legitimidade dos códigos antes de digitalizá-los. Ou seja, antes de digitalizar um código, certifique-se de que não foi colado um código diferente. Especialmente em material impresso em local público. Na verdade, é melhor não usar nenhum QR Code que pareça alterado.

Nunca faça login em um aplicativo usando um QR Code

Além disso, preste atenção ao URL para o qual você está sendo direcionado. Mesmo embora isso nem sempre seja possível antes de visitar o site. Afinal, alguns códigos não mostram o URL de antemão. Entretanto, lembre-se: nunca faça login em um aplicativo usando um QR Code.

Os ataques de phishing estão entre os maiores riscos do QR Code. Portanto, os usuários precisam estar atentos para se certificar de que estão em um site legítimo. Dessa forma, as empresas devem ser cuidadosas e ter uma solução de endpoint unificada. Afinal, assim conseguem proteger todos os dispositivos sem afetar a produtividade.

Invista em segurança de TI

Contudo, também é fundamental ter segurança de dispositivo. Ou seja, uma defesa contra ameaças móveis e proteção contra exploits em todos os dispositivos. Especialmente nos usados ​​para acessar recursos corporativos.

Outra boa prática é garantir que a dona do QR Code é legítima. Ou seja, se a fonte do QR Code parecer incompleta, não faça a leitura. Portanto, evite URLs diferentes do URL legítimo de uma empresa. Especialmente se redirecionar o usuário para um site diferente.

Em geral, as equipes de segurança cibernética e de TI precisam estar cientes dos riscos do QR Code. Isso é especialmente verdadeiro com o aumento no uso de dispositivos móveis.

Pandemia e aumento dos riscos

“O uso de dispositivos móveis se tornou muito mais prevalente. Especialmente durante esta pandemia. Adicione isso ao fato de que o uso do QR Code também explodiu. Portanto, é natural que hackers inescrupulosos tentem tirar proveito de ambos os fatos.”

Precisa de ajuda em segurança de TI? Entre em contato, sem compromisso. Podemos te ajudar a evitar os riscos do QR Code. Além, é claro, de outros ataques.

Já vai?

Receba conteúdos exclusivos e gratuitos direto no seu e-mail, para ler sem pressa ;)

FALE
COM UM
ESPECIALISTA

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

FALE
COM UM
ESPECIALISTA

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Acesse informação exclusiva para nossos clientes e esteja informado. Conheça as técnicas, ferramentas e estatísticas do mercado, de graça, e no seu email.
É só preencher o formulário para acessar.

Receba Gratuitamente

Passo 2
0%

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.