Os códigos QR estão em todo o lado – podes vê-los em cartazes, folhetos, ecrãs de caixas multibanco, etiquetas de preços e mercadorias, edifícios históricos e monumentos, mas o que dizer do QR Code Phishing? Os códigos QR tornaram-se parte integrante da nossa vida quotidiana. Desde menus de restaurantes a bilhetes para eventos e até mesmo a autenticação de dois factores, estes pequenos quadrados a preto e branco tornam o acesso a informações ou serviços mais conveniente do que nunca. No entanto, a grande comodidade traz consigo o potencial de utilização indevida. Uma ameaça preocupante que está a aumentar é o phishing de código QR e, nesta publicação do blogue, vamos aprofundar o que é o phishing de código QR, como funciona e como te podes proteger de ser vítima desta insidiosa ameaça cibernética.

O que é phishing de código QR?

O phishing de código QR, também conhecido como Quishing, é uma forma de ataque de engenharia social que utiliza códigos QR para enganar as pessoas, levando-as a revelar informações sensíveis ou a comprometer a sua segurança. Os phishers criam códigos QR falsos que, à primeira vista, parecem legítimos e fiáveis. Estes códigos QR maliciosos podem levar a várias fraudes, incluindo roubo de identidade, fraude financeira e instalação de malware. Foi observada uma campanha de phishing que visava predominantemente uma empresa de energia notável nos EUA, empregando códigos QR para introduzir e-mails maliciosos nas caixas de entrada e contornar a segurança. Cerca de um terço (29%) dos 1.000 e-mails atribuídos a esta campanha visavam uma grande empresa de energia dos EUA, enquanto as restantes tentativas foram feitas contra empresas da indústria transformadora (15%), seguros (9%), tecnologia (7%) e serviços financeiros (6%)

Como funciona o phishing com código QR?

Criação de códigos QR maliciosos: Os phishers criam códigos QR que parecem conduzir a sites ou aplicações legítimas, mas que secretamente redireccionam as vítimas para sites falsos e maliciosos.

Distribuição: Estes códigos QR maliciosos são distribuídos através de vários meios, incluindo correio eletrónico, SMS, redes sociais, panfletos, ou mesmo colocando autocolantes sobre códigos QR legítimos.

Conteúdo enganoso: Quando digitalizado, o código QR redirecciona os utilizadores para um site ou aplicação fraudulenta que imita uma entidade de confiança, como um banco, uma plataforma de comércio eletrónico ou uma rede de redes sociais. A página normalmente pede ao utilizador que introduza informações sensíveis, como credenciais de início de sessão, detalhes do cartão de crédito ou informações pessoais.

Recolha de dados: Depois de a vítima introduzir as suas informações, o phisher recolhe-as para fins maliciosos, que podem incluir acesso não autorizado a contas, roubo de identidade ou fraude financeira.

Instalação de malware: Em alguns casos, os sites falsos também podem tentar instalar malware no dispositivo da vítima, comprometendo ainda mais a sua segurança.

Proteger a tua organização contra o phishing de códigos QR

  • Educa a tua força de trabalho: Treina os funcionários para reconhecerem os riscos associados à leitura de códigos QR desconhecidos e para verificarem a origem de qualquer código que encontrem. Patrick Schläpfer, analista de malware da HP, afirmou que a sua equipa tem observado, desde há meses, uma atividade de quishing baseada em correio eletrónico quase diariamente
  • Utiliza uma aplicação de leitura de códigos QR: Incentiva os empregados a utilizarem uma aplicação de leitura de códigos QR respeitável que inclua funcionalidades de segurança como a pré-visualização de URL, que apresenta o endereço do Web site antes de o abrir. Evita aplicações de código QR genéricas ou desconhecidas, uma vez que podem não ter medidas de segurança.
  • Verifica as fontes: Antes de digitalizar um código QR, certifica-te de que provém de uma fonte fiável. Verifica a marca, a consistência do design e a legitimidade do sítio Web ou do evento que representa.
  • Mantém o software atualizado: Certifica-te de que todos os dispositivos e software utilizados na tua organização são actualizados regularmente para resolver as vulnerabilidades de segurança. As actualizações incluem frequentemente correcções para vulnerabilidades conhecidas relacionadas com o código QR.
  • Implementa a Gestão de Dispositivos Móveis (MDM): As soluções MDM permitem que as organizações tenham um melhor controlo sobre os dispositivos utilizados pelos seus funcionários, permitindo a aplicação de políticas de segurança e a capacidade de limpar remotamente os dispositivos, se necessário.
  • Acesso seguro à rede: Educa os funcionários sobre a importância de ligações Wi-Fi seguras. Incentiva-os a utilizar redes privadas virtuais (VPNs) quando se ligam a redes Wi-Fi públicas e a serem cautelosos com códigos QR de Wi-Fi desconhecidos.
  • Autenticação de dois factores (2FA): Ativa a 2FA para todas as contas e aplicações relevantes na tua organização. Mesmo que os atacantes consigam roubar as credenciais de início de sessão, a 2FA fornece uma camada extra de segurança.
  • Auditorias de segurança regulares: Realiza auditorias de segurança regulares e testes de penetração para identificar vulnerabilidades nos sistemas da sua organização, incluindo as relacionadas com os códigos QR.
  • Comunica actividades suspeitas: Incentiva os funcionários a comunicarem quaisquer códigos QR suspeitos ou tentativas de phishing que encontrem à equipa de TI ou de segurança da sua organização.

O phishing de código QR é uma ameaça crescente que as organizações devem enfrentar para se protegerem a si próprias e aos seus funcionários. Ao educar a tua força de trabalho, implementar medidas de segurança e permanecer vigilante, podes reduzir significativamente o risco de ser vítima de ataques de phishing de código QR.

Descarrega o teu Cartaz de Sensibilização para o Phishing com Código QR GRATUITO AQUI

Imagem do MicrosoftTeams