O cibercrime é um negócio, e, por isso, os cibercriminosos não descansam na hora de buscar por novas estratégias para enganar suas vítimas.

Aproveitando a popularização dos códigos QR (utilizados, por exemplo, para acessar o menu de um restaurante, obter informações de um produto ou até realizar pagamentos), os golpistas descobriram uma nova forma de enganar as pessoas: o quishing. A seguir, vamos explorar essa técnica, entender seu funcionamento, os riscos que representa e como se proteger contra ela.

O que é o quishing?

O quishing é uma técnica de phishing que utiliza códigos QR para enganar as vítimas, levando-as a revelar seus dados pessoais e outras informações sensíveis ou a acessar um site falso.

Basicamente, funciona de forma semelhante aos ataques de phishing tradicionais, mas, em vez de enviar um e-mail ou SMS com um link malicioso, requer que a vítima escaneie o código QR falso.

Como funciona o quishing?

Para aplicar essa técnica, cibercriminosos inserem códigos QR em redes sociais, ofertas on-line, e-mails, adesivos ou até em panfletos físicos, esperando que alguém os escaneie.

Para isso, utilizam estratégias de engenharia social para convencer a vítima de que o código é legítimo, oferecendo algum benefício ou recompensa ao escaneá-lo. Frequentemente, esses golpistas se passam por empresas ou marcas mundialmente conhecidas, como veremos no exemplo a seguir.

quishing-que-es-phishing-qr-amazon

Imagem 1. Exemplo de um folpe que se faz passar pela Amazon para enganar a vítima por meio de quishing. Fonte: @newmediaguynyc no X.

Os cibercriminosos também podem recorrer a mensagens que apelam ao senso de urgência, incentivando o usuário a escanear o código QR para evitar, por exemplo, a suspensão de uma de suas contas.

quishing-que-es-phishing-qr-microsoft

Imagem 2. Exemplo de um golpe de quishing, que apela para o senso de urgência da vítima. Fonte: Nibusinessinfo

 Uma vez que o QR é escaneado, ele pode redirecionar a vítima para um site falso a fim de roubar dados pessoais ou informações sensíveis. Por exemplo, pode levar a vítima a um site que simula ser de um banco e solicitar suas credenciais bancárias.

Outra opção é que, por meio do código QR, um malware seja baixado para o dispositivo.

Como se proteger do quishing?

Existem boas práticas que podem ser adotadas para reduzir o risco de ser vítima de quishing. Por exemplo:

  • Verificar a origem do código QR: antes de escaneá-lo, é recomendável garantir que ele vem de uma fonte confiável;
  • Usar aplicativos que permitem visualizar a URL para a qual o código QR direciona: isso ajuda a confirmar se o link é seguro ou não;
  • Ter cautela com códigos QR enviados de forma inesperada ou por desconhecidos, especialmente se prometerem benefícios substanciais: talvez a melhor decisão seja não escaneá-lo para evitar possíveis problemas.