Como se proteger de um código QR malicioso

Você provavelmente já viu a imagem de um quadrado formado por vários quadrados menores em um restaurante ou espaço público, como um labirinto ou mosaico de duas cores contrastantes, geralmente preto e branco. Trata-se de códigos QR, uma tecnologia que permite acesso rápido e direto a determinadas informações.

Usá-los é simples: basta escanear o código com a câmera de um dispositivo móvel e, em segundos, eles oferecem a possibilidade de navegar por diversos dados. Esses códigos ganharam popularidade, mas, embora apresentem vantagens em termos de acessibilidade, seu uso generalizado também apresenta vários riscos.

Essencialmente, um código QR, ou código de resposta rápida , é um tipo de código de barras fácil de ler em dispositivos digitais e que armazena informações em uma série de pixels em uma grade. Embora pareçam simples, os códigos QR podem armazenar uma grande quantidade de dados, mas, independentemente do seu conteúdo, sua leitura deve permitir que o usuário acesse as informações instantaneamente, de acordo com o site da empresa de segurança cibernética Kaspersky.

Geralmente são utilizados para redirecionar para uma URL, para acessar números de telefone ou e-mails, para menus ou portfólios de produtos digitais, para baixar documentos , também como link direto para baixar um aplicativo, para autenticar contas online e verificar dados de login, para acessar uma rede Wi-Fi — já que armazenam informações de criptografia e senha —, bem como para enviar e receber informações de pagamento, entre outros usos.

No entanto, assim como não é seguro clicar em nenhum link ou arquivo na web, também não é seguro escanear nenhum código QR. Como os olhos humanos não conseguem decifrar esses códigos, é fácil para invasores alterá-los de forma que a leitura os direcione para outro recurso sem que a pessoa perceba que se trata de uma ação maliciosa.

A leitura de códigos QR maliciosos apresenta vários riscos; por exemplo, a empresa de tecnologia Microsoft ressalta que, como os códigos QR abrem links imediatamente, os invasores podem substituir códigos legítimos por falsificados e usar isso para cometer phishing , uma tática na qual páginas da web falsificadas são disfarçadas como as de entidades legítimas (como bancos, redes sociais ou empresas) para enganar as pessoas e fazê-las obter informações confidenciais, como senhas ou dados bancários.

Da mesma forma, de acordo com uma publicação do Centro Canadense de Segurança Cibernética, ao direcionar os usuários para diferentes sites, os criminosos podem rastrear sua atividade online , o que significa que seus dados podem ser coletados e usados para fins comerciais sem seu consentimento; ou eles podem coletar metadados, como o tipo de dispositivo no qual o código foi escaneado, endereço IP e localização.

Além disso , alguns sites realizam downloads diretos, mesmo sem autorização, de modo que a simples abertura de uma página da web, escaneando um código, pode iniciar o download de software malicioso . “Dispositivos móveis, em geral, tendem a ser menos seguros do que computadores ou laptops e, como os códigos QR são lidos por dispositivos móveis, isso aumenta os riscos potenciais”, observou a Kaspersky.

A Microsoft acrescentou que os hackers podem substituir fisicamente um código QR em um espaço público, mas também enviar e-mails com mensagens falsas como: "As informações do seu cartão de crédito estão desatualizadas, escaneie o código QR para resolver o problema".

Há várias ações que podem ajudar os usuários a se protegerem, de acordo com uma publicação do Escritório de Segurança Tecnológica da Universidade Duke. Por exemplo, revisar o código em busca de elementos suspeitos: o texto ou a mensagem ao redor parecem apropriados? O logotipo no centro do código parece legítimo? O design do código corresponde às cores e especificações da marca? E assim por diante, até os mínimos detalhes.

Também é importante verificar a URL antes de abri-la . A maioria dos leitores de QR Code para dispositivos móveis oferece uma prévia quando você escaneia o código. Você pode ver isso antes de abrir o link para ver se a URL corresponde ao que você está procurando. Verifique se há sinais maliciosos, como um nome estranho na URL, antes de clicar.

Ao abrir a página da web, verifique se o endereço começa com https:// e se o URL tem um cadeado ou está marcado como seguro pelo seu navegador.

Além disso, as empresas de segurança cibernética desaconselham o compartilhamento de informações pessoais nesses sites, a menos que você confie totalmente na fonte.

Outra ação a evitar é baixar aplicativos de terceiros para escanear códigos QR , já que os smartphones modernos incluem o recurso de escaneamento de códigos no aplicativo da câmera. Outra opção para lê-los é o recurso Google Lens ; para usá-lo, você deve abrir o aplicativo Google no seu dispositivo móvel e verá um ícone de câmera com um ponto no canto inferior direito, no final da barra de pesquisa.

Além disso, não é recomendado escanear códigos QR afixados em locais públicos, como estações de transporte público ou placas de rua , nem escanear códigos QR recebidos em e-mails ou mensagens de texto de fontes duvidosas. Se você não puder verificar o remetente (marca, empresa, entidade, etc.) que os gerou, é melhor não lê-los.

Por fim, é uma boa ideia configurar seu dispositivo para solicitar permissão e verificação antes de executar uma ação de código QR, manter seu dispositivo atualizado e considerar usar um antivírus para se proteger desse e de outros riscos digitais, mas certifique-se de que seja de empresas confiáveis.

FERNANDA ORTIZ HERNÁNDEZ (*)

El Universal (México) - GDA

(*) Com informações do EL TIEMPO