Para que servem os códigos QR e como podemos ser burlados?
Os códigos QR estão activos no mundo tecnológico desde 2009. Contudo, o que inicialmente se pretendia ter a mesma funcionalidade que um código de barras está agora a tornar-se um recurso indispensável na nossa vida quotidiana. Não só como código para obter mais informações sobre produtos, mas também como um recurso para consultar ou contratar certos serviços.
Pode ser encontrado em restaurantes (menu digital), aeroportos (passaporte, visto ou certificado de vacinação) e mesmo em anúncios televisivos. Mas as autoridades voltaram a alertar para um aumento preocupante de cibercrimes que utilizam códigos QR.
Os cibercriminosos aproveitam-se frequentemente de locais públicos, onde é comum encontrar este recurso de informação. O ciberataque começa com a colocação de um autocolante com um QR concebido pelo cibercriminoso que, se digitalizado, nos encaminha para um sítio Web falso (Pharming; ciberataque abordado em TIP anteriores) ou descarregar um ficheiro ou aplicação, aparentemente inofensivo, mas que pode causar muitos danos ao nosso dispositivo ou fornecer dados pessoais ou de pagamento a esse terceiro sem que tenhamos conhecimento disso.
Como é que podemos evitar isto?
- Antes de o utilizar, pense se é realmente indispensável e se não existem outras alternativas de informação: pode não ser de todo necessário. Especialmente se não tivermos a certeza da sua autenticidade. Em caso de dúvida, é portanto preferível continuar a consultar a informação por outros meios (sítio Web oficial, folhetos informativos, etc.).
- Certificar-se de que o código QR está correto: antes de digitalizar um código QR na esplanada de um restaurante, num cartaz, num folheto, numa paragem de autocarro, é preciso verificar se não foi adulterado. Por vezes, os cibercriminosos colocam um autocolante com o seu QR falso, encobrindo o QR verdadeiro. Em caso de dúvida ou se for detectada uma possível fraude deste tipo, é preferível alertar para a manipulação e consultar as mesmas informações por outros meios (empregados do estabelecimento, website, etc.).
- Desconfie da autenticidade do QR se constatar que a página Web para a qual remete não está relacionada, não é segura (tem um cadeado ou tem um “S” no final de https) ou é muito pouco informativa: a função dos QR é principalmente publicitária e informativa. Normalmente redireccionam para um mapa de localização, um e-mail, um menu de restaurante, um website ou um perfil de rede social. Contudo, se o pedido for para introduzir dados pessoais, bancários ou de pagamento, ou mesmo para descarregar um ficheiro, uma aplicação ou clicar num link numa página em branco, podemos estar a lidar com uma possível técnica de ciber-scam.
NOTA IMPORTANTE: Se pensa que pode ter sido vítima deste ciberataque, no ambiente de trabalho, comunique-o ao departamento de TI, ao CISO ou ao DPO e, no ambiente pessoal, comunique-o à autoridade policial.