Com mais de 25 anos de “carreira”, o QR code se tornou mais presente na vida dos brasileiros nos últimos meses. Nas telas de TVs, nos cardápios digitais, no Pix: lá está o quadradinho escaneável.
Mas a ferramenta também apresenta seus riscos: também cresceram os ataques hackers baseados nesse recurso.
As ações mais comuns são de direcionamento para outras páginas (ou URLs), que podem aplicar golpes de phishing (para roubar dados pessoais ou dinheiro) ou instalar um malware (softwares maliciosos) no dispositivo da vítima.
“Isso têm maior probabilidade acontecer em códigos QR impressos, já que, para adulterar um QR digital, seria necessário comprometer a estrutura de criação do QR, algo muito mais complexo”, afirma Daniel Cunha Barbosa, especialista em segurança da informação da Eset.
Os golpistas podem, por exemplo, cobrir o código QR original de um restaurante ou loja com um adesivo contendo o QR malicioso. Ou até substituir toda a página (uma folha do cardápio, um folheto de propaganda) por outra nova, com o quadradinho errado.
Além disso, os criminosos têm reciclado um golpe antigo: o das contas e faturas falsas. A Kaspersky identificou a nova versão no começo deste ano, com o uso de QR code do Pix.
O boleto imita o visual de uma conta original (de telefonia, por exemplo). O endereço de email também é muito similar ao legítimo, na tentativa de passar despercebido. Normalmente, há uma oferta de desconto na quitação dos débitos, para tornar a transação ainda mais sedutora.
“A vítima então abre seu aplicativo de banco, entra na opção Pix, escaneia o QR Code do boleto falso e confirma o pagamento”, afirma Fábio Assolini, analista sênior de segurança da Kaspersky no Brasil.
Como se proteger?
Especialistas recomendam algumas práticas preventivas e muita atenção diante de situações em que é preciso escanear o quadradinho. Em casos que requerem pagamentos, o cuidado tem que ser redobrado.
“É importante prestar atenção ao link exibido quando o QR code é identificado pela câmera. Por exemplo, se o URL estiver encurtado, é um sinal de alerta, porque, com este tipo de código, não há motivo para o encurtamento”, diz Assolini. Nesse caso, a versão “encurtada” serve para esconder o link real, que pode revelar o golpe.
Ele acrescenta também que as pessoas não devem escanear QRs de fontes suspeitas, encontradas nas ruas ou em locais que não apresentam nenhuma garantia.
“Alterações maliciosas normalmente não são tão bem feitas quanto a original. Desconfie de qualquer mudança de padrão ou de qualidade no material que lhe for oferecido”, complementa Barbosa, da Eset.
Igor Marques Gama, especialista em cibersegurança da ISH Tecnologia, diz que o usuário precisa ter atenção também em relação às ações realizadas após a leitura do código. Por exemplo: onde ele clica e o que ele autoriza. Não faz sentido, por exemplo, o QR code do cardápio de um restaurante pedir autorização para fazer instalações no celular das pessoas.
“Nos casos de transferências via Pix ou carteiras digitais, sempre confirme com quem enviou o QR code os dados pessoais, o banco ou carteira utilizada e o valor. Verifique se o QR code no momento do pagamento reflete os dados informados”, afirma.
Além dessas precauções, é preciso adotar programas de proteção digital, os famosos “antivírus”, no dispositivo móvel. Eles podem detectar e impedir a execução de códigos maliciosos em tentativas de ataques.