Princípios importantes
- Códigos QR são tão perigosos quanto links maliciosos em e-mails.
- Esses códigos contêm links que podem abrir aplicativos, iniciar chamadas telefônicas, compartilhar sua localização e muito mais.
- Proteja-se evitando códigos QR e usando um link.
Em vez de pegar um cardápio imundo de restaurante com as próprias mãos, nos acostumamos com a higiene dos códigos QR. Mas esses podem ser um pouco mais sujos e muito mais perigosos do que você imagina.
Em 2015, um amante de ketchup alemão escaneou o código QR em sua garrafa de Heinz e foi enviado direto para um site pornô. Isso pode ser embaraçoso, mas há consequências piores para escanear códigos QR cegamente. De acordo com o serviço de gerenciamento de senhas 1Password, os códigos QR podem acionar chamadas telefônicas, trair sua localização, iniciar uma chamada telefônica que revela seu identificador de chamadas e muito mais. Então o que podemos fazer sobre isso?
"Todos nós nos tornamos condicionados a escanear um código QR para navegar em um menu ou até mesmo pagar nossas contas, e os cibercriminosos agora estão capitalizando isso através do uso de códigos QR maliciosos ", Craig Lurey, especialista em segurança cibernética e co -fundador da Keeper Security, disse à Lifewire por e-mail. "Então, o que pode parecer um código para pagar por um parquímetro, e o site parecerá incrivelmente legítimo, você está inserindo os detalhes do seu cartão de crédito diretamente no banco de dados de um ladrão."
Links ruins
Um código QR é apenas um atalho para um link que pode ser lido pela câmera do seu telefone e depois decodificado. Todos nós fomos treinados para nunca clicar em um link em um e-mail, mesmo que pareça legítimo. Mas os links de código QR são igualmente perigosos e têm o problema adicional de que você não pode ver para onde eles levam até que você os digitalize.
Quando pensamos em links, pensamos em URLs que nos levam a sites. E no caso do hack pornô de ketchup da Heinz, esse foi o problema - a Heinz deixou o nome de domínio expirar, e outra pessoa o comprou, depois o carregou com fotos sujas. Os URLs são perigosos, como ilustra o esquema de phishing do parquímetro de Lurey, mas os links podem fazer muito mais.
"Um dos maiores problemas é que, ao contrário dos sites, os links QR para URLs encurtados raramente identificam o nome da empresa", disse Monti Knode, ex-comandante do 67º Grupo de Operações do Ciberespaço da USAF, por e-mail. "Uma pessoa clica nele e presume que ele fornecerá um menu de restaurante, agenda de conferência ou até mesmo um link de caridade, e pode muito bem ser um site falso ou um link malicioso que baixa o código para seu computador ou dispositivo móvel."
Em nossos telefones, os links podem acionar aplicativos. Um link do Google Maps é aberto no aplicativo de mapas, por exemplo. Os links também podem acionar chamadas telefônicas, adicionar contatos ao seu catálogo de endereços (e, portanto, fazer com que chamadas e e-mails futuros pareçam legítimos), eles podem compartilhar sua localização e muito mais.
Um golpe engenhoso envolve um ne'er-do-bem modificando um código QR legítimo existente e usando-o para redirecionar as vítimas. O anunciante Robert Barrows compartilhou uma história sobre seu túmulo aprimorado em vídeo.
"Percebi que poderia haver vários problemas com códigos QR em lápides", disse Barrows à Lifewire por e-mail. "O que acontece se a tinta do código QR se deteriorar com o tempo? Você acabará criando um link para um site totalmente diferente? O que acontece se alguém alterar o código QR com um marcador?"
O mesmo pode acontecer com cartazes publicitários, menus ou qualquer código QR.
Protegendo-se
O primeiro passo para se proteger é estar atento. Nunca digitalize um código QR a menos que tenha certeza de que é seguro. O que realmente significa, nunca escaneie um código QR.
Mas se você precisar escanear para fazer check-in em um restaurante ou bar ou ver um menu, primeiro certifique-se de que o código não foi adulterado ou coberto com um adesivo de outro código QR. Uma dica é desativar a leitura automática de código QR nas configurações do seu telefone, se possível. Mas realmente, a melhor proteção é ter cuidado.
"Quando possível, assim como com possíveis links de phishing, as recomendações são ir diretamente ao site do provedor para recuperar as informações que você está procurando", disse Dave Cundiff, CISO da empresa de segurança cibernética Cyvatar, à Lifewire por e-mail. "Na maioria dos casos, as informações são hospedadas na web e podem ser acessadas diretamente no site do provedor em algum lugar."
Se o link não estiver disponível, não o examine. É muito menos conveniente, mas não tão inconveniente quanto falar dias ou semanas lidando com as consequências de um link malicioso.
