Você deve confiar nesse código QR aleatório?

Resumo do texto:

  • QR phishing ou QRishing é um tipo de ataque cibernético que utiliza códigos QR para enganar os usuários e roubar suas informações;
  • É importante ter cuidado ao scanear códigos QR, especialmente em locais públicos ou de fontes desconhecidas;
  • Existem aplicativos de scanner de QR que podem ajudar a detectar links maliciosos;
  • Se você já caiu em uma armadilha de QRishing, é importante tomar medidas para proteger suas informações e relatar o crime.

Antes de scanear um código QR, é importante considerar onde ele está localizado e de onde vem. Ele pode ser um golpe. Como escritor de finanças pessoais desde 2008, Jason Steele já contribuiu para mais de 100 publicações, incluindo Forbes, USA Today, Newsweek, Time, U.S. News, Money.com e NerdWallet. Jason é um líder na indústria e já falou em dezenas de conferências, além de ser o fundador e produtor da CardCon, uma conferência anual para a mídia de cartões de crédito.

Um código QR em um telefone contra um fundo verde feito de código.Um código QR em um telefone contra um fundo verde feito de código.

É provável que você possa distinguir uma mensagem de texto real de uma enviada por um golpista. A mensagem de phishing provavelmente tem um senso de urgência, pede pagamento como um cartão de presente e pode fazer você franzir a testa com algum dos termos utilizados. Mas você poderia distinguir um código QR falso de um legítimo?

Muitos de nós estão familiarizados o suficiente com golpes de phishing para evitar esses tipos de armadilhas, mas pode ser significativamente mais difícil reconhecer o phishing de QR, às vezes chamado de Quishing ou QRishing.

Ao contrário do phishing, no qual você normalmente pode ver o endereço da web para identificar sua legitimidade, não há como facilmente distinguir entre o código QR para um menu ou um aplicativo de pagamento de estacionamento com um que o leva a um site fraudulentos com uma download malicioso.

O número de tentativas de phishing de QR aumentou de 0,8% em 2022 para 12,4% em 2024, de acordo com um relatório recente da Egress. Embora você possa tentar evitar códigos QR por completo, há muitas vezes em que precisamos confiar neles para acessar menus ou pagar estacionamento.

Um código QR em um telefone contra um fundo verde feito de código.Um código QR em um telefone contra um fundo verde feito de código.

Para se proteger do phishing de QR, certifique-se de que as configurações de segurança do seu dispositivo móvel estejam atualizadas e use software de segurança confiável, disse Lisa Plaggemier, diretora executiva da National Cybersecurity Alliance.

Plaggemier também recomenda que você somente escaneie códigos QR de fontes confiáveis, seja em um sinal físico, site ou e-mail. E se um código QR parecer suspeito ou direcioná-lo a um site solicitando informações sensíveis, pare imediatamente.

O que é phishing de QR ou QRishing?

Phishing de QR ou QRishing é um ataque cibernético que usa códigos QR vinculados a sites que enganam os usuários e os fazem baixar conteúdo malicioso ou fornecer informações sensíveis.

Depois que a vítima baixa o conteúdo, os atacantes roubam as informações do usuário, como senhas, dados financeiros e outras informações de identificação pessoal, ou PII. As informações podem ser usadas para cometer roubo de identidade e fraude financeira.

Como detectar um golpe de QRishing na prática:

O problema é que, com códigos QR, você pode não ser capaz de dizer a diferença entre um código malicioso e um legítimo até que você o tenha escaneado. No entanto, use sua intuição. Se você estiver em uma bomba de gasolina e houver um código QR aleatório abaixo de um adesivo duvidoso, é provável que não valha a pena escaneá-lo.

Seja sempre cético com relação a quaisquer códigos QR que você vê e considere suas fontes. Seja extremamente desconfiado de códigos QR nos seguintes locais:

  • Aeroportos;
  • Restaurantes;
  • Paradas de ônibus;
  • Panfletos, como bilhetes de estacionamento falsos;
  • E-mails e mensagens de texto falsos.

Lembre-se de que é sempre possível para alguém colocar um adesivo com um código malicioso sobre um código legítimo em um sinal, medidor de estacionamento ou outro local confiável.

Tome um momento para examinar códigos QR públicos em busca de sinais de manipulação. Fique atento a códigos QR de mensagens de texto e e-mails não solicitados e seja muito cauteloso com códigos QR que prometem bens ou prêmios gratuitos.

Para evitar golpes de QRishing, sempre use um aplicativo de scanner de QR confiável que inclua recursos de segurança que possam detectar links maliciosos. Você pode tentar o scanner de QR Code da TrendMicro, o QR & Barcode Reader da Gamma Play ou o QR Code Reader da TeaCapps.

Como último recurso, certifique-se de verificar os URLs que você está sendo enviado antes de clicar neles. Em particular, para URLs que incluem erros de digitação comuns de nomes de empresas populares ou que simplesmente contêm o nome de uma empresa confiável em um nome de domínio não confiável.

O que fazer se você já caiu em uma armadilha de QRishing:

Se você é vítima de um golpe de QRishing, é importante relatar o crime e proteger suas informações. Qualquer informação que você tenha fornecido aos golpistas pode ter sido comprometida, incluindo seu nome, endereço, número da Previdência Social e contas financeiras.

Entre em contato com seu banco e informe que sua conta foi comprometida. Você deve alterar suas senhas imediatamente, verificar seus dispositivos em busca de malware e implementar autenticação de dois fatores, se ainda não o fez. Além disso, verifique seus relatórios de crédito para atividades fraudulentas e considere congelar seu crédito.

Aqui estão alguns recursos adicionais para vítimas de golpes de código QR:

  • Comissão Federal de Comércio (FTC) — A FTC tem um site de relatórios online para que os consumidores possam relatar fraudes. Você também pode ligar para o Centro de Resposta do Consumidor da FTC no (877) 382-4357 para relatar uma fraude por telefone.
  • IdentityTheft.gov — A FTC também oferece este site para ajudar os consumidores a relatar casos de roubo de identidade, obter um plano de recuperação e colocá-lo em ação. Você também pode ligar para a Linha Direta de Roubo de Identidade da FTC no 1-877-IDTHEFT (1-877-438-4338).
  • Administração da Previdência Social — A Administração da Previdência Social oferece recursos para aqueles que tiveram seu número da Previdência Social roubado. Você também pode relatá-lo à Administração da Previdência Social no oig.ssa.gov ou ligando para sua linha direta de fraude da Inspetoria Geral no 1-800-269-0271.