Quishing é o novo phishing Por que você precisa pensar antes de escanear aquele código QR
Quishing A nova ameaça do phishing. Por que é importante pensar antes de escanear qualquer código QR.
Escanear códigos QR tem sido uma maneira tão conveniente de ter acesso às informações de que você precisa apenas abrindo o aplicativo da câmera; no entanto, esses códigos nem sempre são o que você pensa que são.
Na semana passada, a Comissão Federal de Comércio (FTC) lançou um alerta ao consumidor alertando as pessoas para ficarem atentas a links prejudiciais ocultos em códigos QR.
Também: Os melhores serviços de VPN: testados e revisados por especialistas
Códigos QR estão em toda parte e são usados para praticamente qualquer coisa, e naturalmente, pessoas mal-intencionadas têm usado códigos QR para usá-los em ataques de phishing.
Sorte para você, a FTC forneceu algumas informações sobre os ataques e o que você deve observar para se manter protegido.
- Crystal UHD vs QLED Uma comparação para comprar TVs da Samsung
- Apple Watch Series 9 vs Ultra 2 Qual smartwatch você deve comprar?
- A Nova Venda de Inverno da Samsung Apresenta o Monitor Inteligente ...
Mas primeiro, um pouco de retrocesso.
O que é o phishing?
Phishing é um tipo de ataque de engenharia social que os invasores usam para enganar as pessoas a revelar ou entregar informações sensíveis (como nomes de usuário e senhas) ou até mesmo instalar software malicioso.
Também: A segurança do kernel agora: o método único do Linux para proteger código
O phishing existe há muito tempo e assumiu várias formas ao longo dos anos. Nesta rodada, os ataques usam códigos QR, também conhecidos como quishing.
O que é quishing?
Já que os códigos QR estão praticamente em toda parte para fornecer aos usuários acesso fácil às informações de que precisam, as pessoas têm a tendência de escaneá-los sem questionar seu propósito.
Vendo essa vulnerabilidade, pessoas mal-intencionadas escolhem imitar aqueles códigos QR úteis, apenas para levar a pessoa que os escaneou a um site falso, roubar suas informações ou instalar malware em seu dispositivo.
Também: O que é a dark web? Aqui está tudo o que você precisa saber antes de acessá-la
Isso é quishing. Enganar uma pessoa (ou várias pessoas) fazendo-as pensar que algo é inofensivo (ou necessário), mas a verdadeira intenção está longe de ser inocente. O objetivo é acessar suas informações, roubar suas credenciais bancárias e muito mais.
Quais são alguns ataques de quishing que você deve ficar atento?
De acordo com a FTC, houve relatos de golpistas que cobrem códigos QR em parquímetros, que estão lá para permitir que as pessoas paguem pelo local de estacionamento, com seus próprios adesivos de código QR maliciosos.
A FTC também disse que outro ataque de quishing comum envolve o envio de vítimas de um código QR por mensagem de texto ou e-mail, com uma razão urgente para que elas tenham que escaneá-lo.
Algumas razões incluem dizer que você precisa escanear o código para reagendar uma entrega de pacote, fingir que há um problema em sua conta e que você precisa escanear o código para confirmar informações, ou dizer que eles notaram atividade suspeita em sua conta e você deve alterar as informações.
Também: Google lança mais uma atualização de segurança para seu navegador Chrome
O fator chave é a sensação de urgência que o golpista cria na mensagem para fazer o usuário escanear o código QR e inserir suas informações pessoais o mais rápido possível, sem pensar.
É claro que essas não são as únicas maneiras que um ator de ameaças pode usar um código QR para enganar as pessoas e fazê-las cair em seu golpe. Em última análise, qualquer código QR que você veja na natureza pode estar comprometido.
Por que isso é um problema?
Os códigos QR estão por toda parte: em restaurantes, transporte público, comerciais, placas, paredes, banheiros, anúncios e até mesmo empresas enviam seus produtos com códigos QR, para que os consumidores possam acessar manuais em seus telefones.
Também: Torne suas conversas no WhatsApp ainda mais privadas com um código secreto. Veja como
Todos nós simplesmente aceitamos o código QR. E, com isso, confiamos neles. Afinal de contas, um código QR simples pode ser prejudicial? A resposta para essa pergunta é… muito. E os cibercriminosos estão contando com a ideia de que a maioria dos consumidores sempre assume que os códigos QR são inofensivos.
Esses mesmos criminosos também sabem que seus alvos mais fáceis são os usuários de telefones celulares. Por quê? Porque a maioria dos sistemas operacionais de desktop inclui proteção contra phishing. Os telefones, por outro lado, são muito mais vulneráveis a esses ataques.
O que você pode fazer?
A coisa mais simples que você pode fazer é não escanear códigos QR… especialmente aqueles de fontes desconhecidas. Especificamente, a FTC recomenda que, se você encontrar um código QR em um lugar inesperado, verifique a URL antes de abri-la.
Ao verificar o link, algumas coisas a serem observadas incluem se certificar de reconhecer a URL e, mesmo que sim, procurar por erros de ortografia ou uma letra trocada.
A FTC também aconselha que, se você receber um e-mail ou mensagem de texto inesperado com um código QR, não o escaneie, especialmente se for urgente que você aja imediatamente.
Também: Como usar Wi-Fi público com segurança: 5 dicas que você precisa saber antes de se conectar
Se você achar que a mensagem parece legítima, você pode verificar a validade do remetente usando um número de telefone ou site que seja confirmado como autêntico para verificar as informações.
Empresas legítimas sempre enviarão instruções sobre o que você precisa fazer. E a maioria das empresas não vai enviar um código QR para que você possa verificar sua conta. Assim como mensagens SMS de fontes desconhecidas, esses códigos QR podem esconder intenções perigosas. Portanto, a menos que você tenha 100% de certeza da fonte de um código QR, nunca o escaneie com o seu telefone.
Outra dica é se você receber um e-mail com um código QR que se faz passar pela Empresa X, mas verificar o e-mail do remetente e ele for do Gmail ou de algum domínio aleatório (desconhecido), as chances são grandes de ser um ataque de phishing.
Por fim, a FTC recomenda que você proteja seu telefone e contas atualizando o sistema operacional do seu telefone para a versão mais recente e configurando senhas fortes e autenticação multifatorial em suas contas.
