Nos últimos anos, muitos países e regiões ao redor do mundo têm apostado rapidamente nos carros elétricos. Somente em 2023, foram registrados cerca de 14 milhões de novos veículos, um aumento anual de 35%, elevando o total mundial para mais de 40 milhões. No entanto, novas tecnologias trazem consigo novas ameaças. Sempre atentos a oportunidades de lucrar, grupos criminosos estão combinando ameaças físicas e virtuais para roubar dados de pagamento dos motoristas.

Uma das mais recentes táticas, detectada em vários países da Europa, envolve o uso de técnicas de phishing por meio de códigos QR, conhecidas como "quishing", para espionar ou roubar dados de pagamento. Na verdade, essa prática é muito semelhante aos golpes que utilizam códigos QR falsos em parquímetros, e os motoristas de veículos elétricos devem ficar atentos a esse tipo de ameaça nas estações de carregamento.

O que é o quishing e como ele funciona?

O phishing é uma das técnicas mais populares e eficazes que os cibercriminosos utilizam para alcançar seus objetivos. Geralmente, é o ponto de partida para todo tipo de ciberameaças, focadas no roubo de informações pessoais, credenciais de login ou na instalação disfarçada de malware. Por que essa técnica é tão eficaz? Porque explora nossa tendência natural de confiar em pessoas ou organizações que aparentam ter autoridade.

Existem tantas variantes de phishing que pode ser difícil para a polícia, equipes de segurança corporativas e órgãos governamentais acompanharem e atualizarem suas iniciativas de conscientização pública. O quishing é um bom exemplo disso. Embora os códigos QR existam desde os anos 90, o quishing como uma ameaça começou a se destacar durante a pandemia. Isso ocorreu porque os códigos QR se tornaram uma imagem comum nas ruas, sendo uma forma mais higiênica de acessar desde cardápios até formulários médicos.

Os golpistas rapidamente entraram em ação, colando códigos QR falsos sobre os autênticos. Quando escaneados, esses códigos direcionam as vítimas para um site de phishing, onde seus dados de login e informações pessoais são roubados, ou então induzem ao download de malware. É uma tática especialmente eficaz porque não desperta o mesmo nível de desconfiança nos usuários como, por exemplo, as URLs de phishing. Além disso, dispositivos móveis costumam ser menos protegidos do que laptops e desktops, o que aumenta as chances de sucesso do ataque. Um relatório do final do ano passado apontou um aumento de 51% nos incidentes de quishing em setembro, em comparação com o período de janeiro a agosto de 2023.

Por que os veículos elétricos estão em risco?

Os criminosos, sempre criativos, encontraram uma maneira de adaptar suas fraudes à crescente popularidade dos veículos elétricos ao redor do mundo. De acordo com relatos do Reino UnidoFrança e Alemanha, golpistas estão colando códigos QR maliciosos sobre os legítimos nas estações de carregamento públicas. O código, que deveria direcionar os usuários ao site oficial onde poderiam pagar pela eletricidade ao operador da estação (como Ubitricity, por exemplo), na verdade redireciona para sites falsos.

No entanto, se os usuários escanearem o código falso, serão direcionados a um site de phishing similar ao legítimo, que solicitará que insiram seus dados de pagamento, os quais serão capturados pelos cibercriminosos. Relatos indicam que o site correto aparece apenas na segunda tentativa, garantindo que as vítimas consigam pagar pelo carregamento, mas não antes de terem seus dados roubados. Em alguns casos, também há indicações de que os criminosos possam estar utilizando tecnologia de bloqueio de sinal para impedir que as vítimas usem seus aplicativos de carregamento, forçando-as a escanear o código QR malicioso.

Com mais de 600 mil pontos de carregamento de veículos elétricos na Europa, os golpistas têm muitas oportunidades para surpreender motoristas desavisados com esse tipo de fraude. Eles se aproveitam do fato de que muitos proprietários de veículos elétricos ainda são novos nessa experiência, o que os torna mais inclinados a escanear o código QR em vez de tentar baixar o aplicativo oficial de carregamento/pagamento ou ligar para a central de atendimento. Como há vários fornecedores dessas estações, os criminosos também exploram o cansaço dos usuários. Um código QR costuma ser uma opção mais rápida e atraente do que gastar tempo baixando múltiplos aplicativos de recarga.

Houve vários casos em que golpistas direcionaram motoristas utilizando códigos QR maliciosos colados em parquímetros. Nesse caso, o motorista desavisado não só pode ter os dados de seu cartão roubados, como também pode acabar recebendo uma multa da prefeitura.

qr code phishing

Um alerta sobre códigos QR falsos em placas de estacionamento e parquímetros foi emitido em Southampton, no Reino Unido. Os mesmos truques podem ser usados em estações de recarga de veículos elétricos. (Fonte: página do Facebook da Prefeitura de Southampton)

Como se proteger do phishing por QR

Embora as fraudes atuais pareçam se limitar à coleta de dados de pagamento por meio de páginas de phishing, não há razão para que os criminosos não possam modificar a ameaça para instalar malware que possa sequestrar o dispositivo da vítima e/ou roubar outros dados de acesso e informações confidenciais. Felizmente, existem algumas medidas simples que você pode adotar para mitigar o risco de quishing enquanto estiver fora de casa:

  • Observe atentamente o código QR. Ele parece estar colado sobre outra superfície ou faz parte da sinalização original? O código está em uma cor ou fonte diferente do restante da placa, ou parece deslocado de alguma forma? Esses podem ser sinais de alerta.
  • Nunca escaneie um código QR, a menos que ele apareça diretamente no terminal do parquímetro.
  • Considere a possibilidade de pagar apenas por meio de uma chamada telefônica ou utilizando o aplicativo oficial de recarga do operador responsável.
  • Considere desativar a opção de realizar ações automáticas ao escanear um código QR, como visitar um site ou baixar um arquivo. Após escanear, verifique a URL para garantir que se trata de um domínio legítimo associado ao serviço, em vez de uma URL suspeita.
  • O site para o qual o código QR o direciona contém erros gramaticais ou ortográficos, ou há algo que pareça estranho? Se sim, isso pode indicar que se trata de um site de phishing.
  • Se algo não parecer correto, entre em contato diretamente com o operador de cobrança.
  • Muitos parquímetros, por exemplo, oferecem várias formas de pagamento, como cartão de crédito, pagamentos NFC ou moedas. Se você não se sentir confortável em escanear um código QR, considere usar uma dessas alternativas para evitar o risco de interagir com um código falso.
  • Se você suspeitar que foi vítima de uma fraude, bloqueie seu cartão de pagamento e denuncie o possível golpe ao seu banco ou fornecedor do cartão.
  • Verifique seu extrato bancário em busca de transações suspeitas, caso tenha preocupações sobre ter sido vítima de quishing.
  • Utilize a autenticação de dois fatores (2FA) em todas as contas que ofereçam essa camada adicional de segurança. Isso ajuda a proteger sua conta mesmo que um golpista consiga redirecioná-lo para um site falso e roubar suas credenciais.
  • Certifique-se de que seu dispositivo móvel tenha um software de segurança de um fornecedor confiável instalado.

As notícias sobre a mais recente campanha de quishing por QR só devem aumentar os pedidos para proibir códigos QR em locais públicos. Mas, enquanto isso, vale a pena ser cauteloso.