Usuários que recebem e-mails aparentemente de grandes empresas de internet (por exemplo, Microsoft ou seu serviço de nuvem Office 365) contendo códigos QR. O corpo desses e-mails tem uma chamada à ação: em poucas palavras, digitalize o código QR para manter o acesso à sua conta. Este post examina se vale a pena reagir a essas mensagens.
Digitalize o código QR ou enfrente o inevitável
Um e-mail típico desse tipo contém uma notificação informando que a senha da sua conta está prestes a expirar, após o qual você perderá o acesso à sua caixa de correio e, portanto, a senha deve ser alterada para verificar o código QR no e-mail e seguir as instruções.
A senha deve ser redefinida digitalizando o código QR
Outro e-mail pode alertar o destinatário que sua “sessão de autenticação expirou hoje”. Para evitar isso, o usuário é aconselhado a “esquiva rapidamente o código QR abaixo com seu smartphone para autenticar novamente sua segurança de senha”. Caso contrário, o acesso à caixa de correio pode ser perdido.
“A sessão doutenticador expirou” – para uma solução rápida, digitalize o código QR
Um outro exemplo: a mensagem gentilmente informa o leitor: “Este e-mail é de uma fonte confiável” – já falamos sobre por que os e-mails carimbados “verificados” devem ser tratados com cautela. O impulso da mensagem é que “3 e-mails importantes” supostamente não podem ser entregues ao usuário devido à falta de algum tipo de validação. Claro, a digitalização do código QR abaixo “conserta” o problema.
E-mails importantes só podem ser entregues digitalizando o código QR para “validação”
Claramente, os autores desses e-mails querem intimidar usuários inexperientes com palavras de alto som.
Eles também provavelmente esperam que o destinatário tenha ouvido algo sobre aplicativos autenticadores – que realmente usam códigos QR – para que sua mera menção possa agitar algumas associações vagas em mente.
O que acontece se você digitalizar o código QR no e-mail
O link no código QR leva você a uma réplica bastante convincente de uma página de login da Microsoft.
A digitalização do código QR leva você a um site de phishing que rouba credenciais inseridas
Claro, todas as credenciais inseridas em tais páginas de phishing acabam em mãos de cibercriminosos. E isso coloca em risco as contas dos usuários que se apaixonam por tais truques.
Um detalhe interessante é que alguns links de phishing em códigos QR levam a recursos IPFS. IPFS (InterPlanetary File System) é um protocolo de comunicação para o compartilhamento de arquivos que tem muito em comum com torrents. Ele permite que você publique quaisquer arquivos na internet sem registro de domínio, hospedagem ou outras complicações.
Em outras palavras, a página de phishing está localizada diretamente no computador do phisher e é acessível através de um link através de um gateway IPFS especial. Os phishers usam o protocolo IPFS porque é muito mais fácil publicar e muito mais difícil remover uma página de phishing do que bloquear um site malicioso “regular”. Como tal, os links vivem mais.
Como se proteger contra códigos QR de phishing
Nenhum sistema de autenticação decente irá sugerir a digitalização de um código QR como sua única opção. Portanto, se você receber um e-mail pedindo para, digamos, confirmar algo ou entrar em sua conta novamente, ou redefinir sua senha, ou executar alguma ação semelhante, e este e-mail contém apenas um código QR, você provavelmente está lidando com phishing. Você pode ignorar e excluir esse e-mail com segurança.
E para aqueles momentos em que você precisa digitalizar um código QR de uma fonte desconhecida, recomendamos nossa solução de segurança com sua função segura de scanner de código QR. Ele verificará o conteúdo dos códigos QR e avisará se houver algo falso dentro.
