.
Principais conclusões
- Quishing envolve golpistas que usam códigos QR falsos para induzir as pessoas a fornecer informações pessoais e de pagamento.
- Os golpistas têm como alvo locais onde códigos QR são usados para pagamentos, criando réplicas de sites para roubar informações das vítimas.
- Para se proteger contra ataques de anulação, verifique se há adulteração de códigos QR, verifique URLs após a digitalização e use métodos de pagamento alternativos se houver suspeita.
Você escaneia códigos QR em locais públicos? Eles são muito convenientes para abrir links e fazer pagamentos, mas também apresentam sua parcela de riscos. Veja como digitalizar um código QR pode custar milhares e como evitá-lo.
O que é Quishing?
Quishing é uma combinação de “QR” e “phishing”.
Quishing é quando um golpista comete um ato de phishing por meio de um código QR, que é ativado quando você o escaneia. Já abordamos anteriormente o que é quishing e como detectar I, mas essa forma perigosa de phishing está registrando um aumento significativo no número de vítimas em todo o mundo.
Como o Quishing pode custar milhares de dólares?
Quishing é perigoso porque a maioria não leva a sério a leitura de códigos QR. Como tal, é mais provável que sigamos as instruções do código QR, indo para qualquer URL ou serviço ao qual o código QR esteja vinculado. A reduzida sensação de segurança permite que os golpistas ataquem áreas onde as pessoas usam um código QR para fazer pagamentos. O golpista estuda o site ao qual o código QR está vinculado, cria uma réplica e, em seguida, substitui o código QR legítimo para apontar para o site clonado.
Quando uma vítima escaneia o código QR falso, ela é levada ao site falso, acreditando que está visitando um site legítimo. O site falso pede dados pessoais, incluindo informações de pagamento. Assim que os golpistas conseguirem obtê-los, eles poderão fazer compras usando a conta bancária da vítima.
3 exemplos de ataques de extinção
Ter milhares de dólares roubados ao escanear um código QR ruim parece ficção científica, mas é uma realidade. Aqui estão alguns dos vetores de ataque mais comuns usados pelos quishers.
1. Ataques a parquímetros e pontos de carregamento
Alguns parquímetros e pontos de carregamento usam códigos QR como parte do processo de pagamento. Para pagar sua taxa, você escaneia um código que o direciona a um site de pagamento ou aplicativo para download.
Os golpistas sequestram esses códigos QR, colocando sua versão maliciosa sobre o original. Quando alguém vai pagar pelo estacionamento ou pela eletricidade, ele escaneia o aplicativo, insere os dados de pagamento no site ou aplicativo falso e os envia sem saber aos golpistas.
Pode parecer irrealista que as pessoas possam perder milhares devido a estes golpes, mas isso já aconteceu antes. Conforme relatado pela ITV, uma pessoa perdeu £ 13.000 (US$ 16.500) após escanear um código QR incorreto em uma máquina de estacionamento.
2. Ataques de código QR por e-mail
Às vezes, os golpistas enviam um e-mail com um código QR anexado. O golpista irá convencê-lo a digitalizá-lo; por exemplo, eles podem afirmar que é para baixar um aplicativo importante ou alegar que são autoridades policiais solicitando pagamento. Quando a vítima escaneia o código QR, ela é direcionada a um site ou aplicativo falso que solicita informações do cartão de crédito.
A HP Threat Research relatou que esse método de ataque teve um aumento na China em 2022, com um e-mail alegando que o destinatário tinha direito a um subsídio governamental. O processo solicitava aos usuários informações completas do cartão de crédito, incluindo detalhes sobre o saldo atual.
3. Geradores de códigos QR falsos
Em alguns casos, o golpista configura um gerador de código QR falso para enganar as pessoas. Isso geralmente acontece quando as pessoas podem usar códigos QR para solicitar pagamentos, já que os golpistas podem entrar furtivamente em suas contas em vez dos geradores originais.
A BitDefender relatou um exemplo em que vários sites configuraram geradores de códigos QR falsos para carteiras Bitcoin. O site solicitou ao usuário um ID de carteira e prometeu gerar um código QR que os beneficiários poderiam facilmente digitalizar e usar quando, na realidade, o código apontasse para a carteira Bitcoin do próprio golpista.
Como verificar se um código QR é seguro
Quishing parece assustador, mas você pode impedir os golpes antes que eles acessem suas informações financeiras com algumas dicas fáceis de segurança.
Verifique se o código QR foi adulterado
Se você estiver digitalizando um código QR em público, certifique-se de que o código não tenha sido alterado. Procure sinais de que alguém colou um adesivo no código QR original; se isso acontecer, não escaneie o código QR.
Da mesma forma, se você estiver gerando um código QR para receber pagamentos, certifique-se de escanear o código QR você mesmo e verifique se os pagamentos irão para onde você pensa que irão.
Verifique novamente o URL ou site após a digitalização
Depois de digitalizar um código QR, verifique sempre o URL ou o site que aparece. O site de um golpista terá um URL de aparência estranha ou o site não “parecerá certo”. Siga as etapas para verificar se um site é seguro e, se algo parecer suspeito, não insira nenhuma informação de pagamento no site.
Procure métodos alternativos de pagamento
Se o código QR parecer suspeito ou se você preferir não correr o risco, procure outra forma de pagamento. Por exemplo, se o código QR afirma que o levará a um aplicativo, procure-o manualmente na loja de aplicativos do seu telefone. Se o destinatário permitir métodos de pagamento alternativos, use-os ou pergunte sobre eles a um funcionário.
Abafar ataques pode custar caro, mas a melhor defesa contra eles é saber como funcionam e o que procurar. Se um código QR levar você a algum lugar suspeito, não insira suas informações de pagamento.
.
