O cibercrime é um negócio, e, por isso, os cibercriminosos não descansam na hora de buscar por novas estratégias para enganar suas vítimas.
Aproveitando a popularização dos códigos QR (utilizados, por exemplo, para acessar o menu de um restaurante, obter informações de um produto ou até realizar pagamentos), os golpistas descobriram uma nova forma de enganar as pessoas: o quishing. A seguir, vamos explorar essa técnica, entender seu funcionamento, os riscos que representa e como se proteger contra ela.
O que é o quishing?
O quishing é uma técnica de phishing que utiliza códigos QR para enganar as vítimas, levando-as a revelar seus dados pessoais e outras informações sensíveis ou a acessar um site falso.
Basicamente, funciona de forma semelhante aos ataques de phishing tradicionais, mas, em vez de enviar um e-mail ou SMS com um link malicioso, requer que a vítima escaneie o código QR falso.
Como funciona o quishing?
Para aplicar essa técnica, cibercriminosos inserem códigos QR em redes sociais, ofertas on-line, e-mails, adesivos ou até em panfletos físicos, esperando que alguém os escaneie.
Para isso, utilizam estratégias de engenharia social para convencer a vítima de que o código é legítimo, oferecendo algum benefício ou recompensa ao escaneá-lo. Frequentemente, esses golpistas se passam por empresas ou marcas mundialmente conhecidas, como veremos no exemplo a seguir.
Os cibercriminosos também podem recorrer a mensagens que apelam ao senso de urgência, incentivando o usuário a escanear o código QR para evitar, por exemplo, a suspensão de uma de suas contas.
Uma vez que o QR é escaneado, ele pode redirecionar a vítima para um site falso a fim de roubar dados pessoais ou informações sensíveis. Por exemplo, pode levar a vítima a um site que simula ser de um banco e solicitar suas credenciais bancárias.
Outra opção é que, por meio do código QR, um malware seja baixado para o dispositivo.
Como se proteger do quishing?
Existem boas práticas que podem ser adotadas para reduzir o risco de ser vítima de quishing. Por exemplo:
- Verificar a origem do código QR: antes de escaneá-lo, é recomendável garantir que ele vem de uma fonte confiável;
- Usar aplicativos que permitem visualizar a URL para a qual o código QR direciona: isso ajuda a confirmar se o link é seguro ou não;
- Ter cautela com códigos QR enviados de forma inesperada ou por desconhecidos, especialmente se prometerem benefícios substanciais: talvez a melhor decisão seja não escaneá-lo para evitar possíveis problemas.