O código QR, abreviação de Quick Response, que em tradução livre significa resposta rápida, é uma tecnologia que já existe há mais de 20 anos. Por muito tempo, esse código de barras bidimensional foi utilizado para catalogar peças de carros, mas diversas empresas passaram a fazer uso dele para agilizar a forma como passariam determinadas informações aos seus clientes.
Por ser um recurso que pode ser oferecido sem que haja necessidade de contato, devido a pandemia diversos estabelecimentos comerciais passaram a disponibilizar seus cardápios através de um QR Code presente em cada mesa, ou utilizar formas de pagamentos como Mercado Pago, PicPay e muitas outras que disponibilizam um código QR para o estabelecimento e o cliente pode lê-lo e creditar o valor devido diretamente para o estabelecimento, auxiliando-os a cumprir as novas exigências sanitárias.
Certo tempo atrás falamos sobre uma campanha maliciosa que visava sequestrar contas de WhatsApp e utilizava QR Code em sua composição, pensando sobre isso me lembrei de algumas vezes em que vi códigos QR sendo utilizados e que pareciam conter algo de errado. Em uma dessas campanhas, a propaganda que continha o código QR estava protegida por uma placa de acrílico transparente e, por cima da proteção, havia um adesivo com um código QR quase do mesmo tamanho do original, ou seja, o encobria. Na época não tive a possibilidade de tentar uma leitura já que estava um pouco distante e minha câmera não era tão potente, mas a forma como aquela publicação estava disposta me intrigou.
Em outro momento fui a um restaurante e ao folhear o cardápio me deparei com outro código - o cardápio estava envolto em uma proteção plástica e, em uma área onde não havia informações, um adesivo com o QR colado. Desta vez, consegui extrair as informações e o QR remetia ao site oficial do restaurante, sem grandes surpresas. No entanto, é aí que surge uma pergunta: quão difícil seria para um criminoso se aproveitar dessa facilidade para desferir um ataque?
O ataque
Pensar em formas de usar os códigos QR para fazer vítimas durante o atual contexto de pandemia, ou após ela já ter passado, pode trazer diversas hipóteses. Falarei sobre duas hipóteses que me parecem ser as mais prováveis:
- Ataque por substituição de QR Code:
A forma mais simples que consigo imaginar para um ataque é a substituição do QR Code original por um malicioso. Para os que não estão familiarizados, é muito simples criar um QR Code. Para isso, é necessário usar aplicativos como o QR Droid ou algum site como o QR Code Generator, que consistem basicamente em receber o texto inserido pelo usuário e converter em uma imagem QR (muito simples e direto ao ponto).
Bastaria então que o criminoso criasse um QR Code com uma URL maliciosa controlada por ele, imprimisse o código em um adesivo nas medidas aproximadas do local ao qual pretende atacar e fazer a substituição.
Se o criminoso tem como alvo um restaurante, ele pode passar a frequentá-lo e colocar o código QR malicioso no lugar do verdadeiro. Dessa forma, todas as pessoas que tentarem ler as informações do código poderão estar expostas a ameaça até o momento em que o proprietário do estabelecimento perceba algo de errado. Tendo como exemplo outros tipos de incidentes de segurança, sabemos que o intervalo entre um ataque e a descoberta da existência dele pode ser muito longo ou até mesmo nunca ser descoberto.
- Ataque à página oficial do estabelecimento
Ainda tendo o restaurante como exemplo, outra possibilidade é que o criminoso escaneie o QR Code e descubra para qual site os usuários estão sendo redirecionados. Supondo que seja para um cardápio digital, o criminoso pode identificar formas de comprometer a estrutura do site e modificar o arquivo original do cardápio para que ele contenha uma ameaça. Caso isso ocorra, assim que o cardápio for visualizado, a ameaça será executada no dispositivo das vítimas. Com certeza esse processo é muito mais trabalhoso do que apenas imprimir um adesivo, mas traz um nível de ocultação que pode nunca ser descoberto. Se mesmo grandes empresas sofrem com ataques digitais, certamente empresas que costumam não ter um foco na proteção de dados como restaurantes, bares, casas noturnas etc., também podem sofrer os efeitos desse tipo de ataque.
Sabendo que esse tipo de ataque é tão simples de acontecer, destacarei formas de proteção igualmente simples e que podem evitar muitos transtornos:
- Desconfie de modificações
Quando um código QR é disponibilizado por qualquer estabelecimento, em geral ele está impresso junto com as outras informações que o estabelecimento deseja fornecer. Caso encontre adesivos/etiquetas impressas que contenham um código QR, verifique com alguém do estabelecimento se realmente se trata de uma modificação feita por eles antes de escaneá-lo.
- Mantenha o sistema operacional e aplicativos atualizados
Ao digitalizar um código QR que contivesse um site, alguns aplicativos antigos abriam diretamente essa URL sem consultar o usuário. No caso de um ataque, a vítima poderia ter seu dispositivo comprometido sem sequer poder tomar alguma ação. É importante manter softwares sempre atualizados e bem configurados a fim de evitar ameaças.
- Fique atento às informações do QR
Boa parte dos códigos são utilizados para fornecer um site aos usuários sem que eles tenham que digitar. Para aplicativos e sistemas atualizados, assim que um usuário escaneia um código QR, uma prévia das informações contidas nele é exibida. Esteja atento a essas informações pois, em caso de golpe, normalmente a página mostrada pelo QR é totalmente diferente da página oficial do estabelecimento. Caso isso ocorra, não acesse a página e informe o incidente para algum funcionário do local.
- Use um software de proteção
Tenha sempre um software de proteção, como um antivírus instalado, atualizado e configurado para barrar ameaças. Caso algum tipo de arquivo malicioso seja baixado ou alguma página infectada seja acessada, os mecanismos de proteção impedirão que as ameaças sejam executadas e prejudiquem o dispositivo.
Créditos da imagem: Marco Zanferrari/flickr