Elido
7 min de leituraConformidade

Os Códigos QR São Seguros? O Quishing e Como Manter-se Protegido

Os códigos QR são seguros de ler - o risco está para onde levam. Como funciona o quishing, como detetar um código QR malicioso, e o que fazer se leu um falso.

Sasha Ehrlich
Compliance · EU residency
Um código QR ao lado de um triângulo de aviso e de um escudo, mostrando que digitalizar é seguro mas é preciso verificar para onde leva um código QR para evitar o quishing, na paleta da marca Elido

Os códigos QR são seguros de ler. O próprio código é apenas um link codificado, e abri-lo não é mais perigoso do que escrever o mesmo endereço web à mão. O risco real vive para onde o código o envia - e é aí que os atacantes operam. Um código QR malicioso pode apontar para uma página de login falsificada construída para roubar a sua palavra-passe, ou para uma transferência que lhe pede para instalar algo prejudicial. Por isso a resposta honesta a "os códigos QR são seguros" é: a leitura é segura, o destino é o que tem de verificar.

O ataque já tem um nome - quishing, uma junção de "QR" e "phishing" - e cresceu porque contorna duas defesas ao mesmo tempo. Um código QR esconde o seu destino até depois de o ler, por isso o velho conselho de inspecionar um link antes de clicar é mais difícil de seguir. E como um código é uma imagem, passa por muitos filtros de email que só leem texto e links. Governos e investigadores de segurança assinalaram o aumento, e a técnica aparece agora em tudo, desde sinais falsos de parquímetros a faturas.

Vejo isto de uma cadeira de compliance, onde a pergunta é geralmente "podemos pôr um código QR numa coisa virada para o cliente sem criar risco?". A resposta é sim, com hábitos. Este guia cobre como funciona o quishing, como ler um código antes de confiar nele, e o que fazer se já leu um mau. Se está a criar códigos em vez de os ler, como criar um código QR é o sítio por onde começar.

Como Funciona o Quishing#

Um ataque de quishing tem a mesma anatomia de qualquer tentativa de phishing, com o link trocado por um código. Compreender os passos torna os sinais de aviso óbvios.

O atacante produz um código QR que resolve para um destino fraudulento - um portal de login falso, uma página de pagamento ou um pedido de malware. Coloca-o onde as pessoas leem sem pensar: um email que parece ser do departamento de TI ou de um banco, um autocolante colado por cima de um código real num cartaz ou parquímetro, um folheto, ou uma encomenda inesperada. A vítima lê com o telemóvel, vê uma página que imita algo familiar, e insere credenciais ou dados de cartão. Os dados vão para o atacante.

O que o torna eficaz é a ocultação. Com um link de phishing normal, uma pessoa cuidadosa pode pairar o cursor e ler primeiro o URL. Um código QR não mostra nada até já se ter comprometido a lê-lo, e num ecrã pequeno a barra de endereço é fácil de ignorar. A análise do quishing da Kaspersky faz o mesmo ponto: o destino oculto é toda a vantagem. O truque relacionado do lado do servidor que permite desviar qualquer redirect para um site malicioso é o assunto de vulnerabilidades de open redirect, e vale a pena saber que os dois funcionam muitas vezes juntos.

Um ataque de quishing mostrado em etapas: o atacante cria um código QR malicioso, coloca-o como autocolante por cima de um real, a vítima lê e chega a uma página de login falsa que recolhe credenciais

Sinais de Aviso de um Código QR Malicioso#

Pode apanhar a maioria das tentativas de quishing antes de qualquer dano ao ler o contexto e a pré-visualização em conjunto. Alguns sinais fazem a maior parte do trabalho.

  • Não estava à espera. Um código que chega não solicitado - num email, numa mensagem, numa carta, ou numa encomenda entregue que não pediu - merece desconfiança antes de mais nada.
  • É um autocolante. Um código físico que parece acrescentado por cima de arte já existente, especialmente em parquímetros, cartazes e menus, é o truque mais comum no terreno.
  • Fabrica urgência. Formulações como "leia imediatamente para evitar a suspensão" ou "verifique agora" são concebidas para o empurrar para além do momento em que normalmente verificaria.
  • A pré-visualização parece errada. Após a leitura, a maioria dos telemóveis mostra o URL antes de o abrir. Erros ortográficos, um domínio desconhecido, um domínio que não corresponde à marca, ou um encurtador que não consegue resolver são todos razões para parar.
  • Exige credenciais ou pagamento de imediato. Um destino legítimo raramente lhe pede para iniciar sessão ou pagar antes de lhe mostrar fosse o que fosse. Um falso começa por aí.

A orientação da Comissão Federal de Comércio dos EUA e o conselho do NCSC do Reino Unido sobre mensagens suspeitas resumem-se ao mesmo instinto: se o código e o seu contexto não parecerem ambos corretos, não aja sobre o que ele abre.

Checklist de duas colunas: sinais de alerta de um código QR malicioso, como códigos inesperados, autocolantes, formulações urgentes e domínios incompatíveis, ao lado de hábitos seguros como pré-visualizar o URL e nunca inserir segredos que um código o empurrou a inserir

Como Ler Códigos QR em Segurança#

A leitura segura é um pequeno conjunto de hábitos, não uma aplicação especial. Nenhum deles o atrasa muito quando se tornam rotina.

  1. Use a câmara integrada do telemóvel ou um leitor que pré-visualize o URL. Leia essa pré-visualização antes de o abrir, sempre.
  2. Verifique o domínio face a quem pensa que enviou o código. A marca à frente do endereço deve corresponder à marca no cartaz, email ou menu.
  3. Desconfie de códigos que resolvem para um encurtador que não consegue expandir - e, inversamente, a confiança é mais fácil quando um código aponta para um domínio com marca claro que reconhece.
  4. Nunca insira palavras-passe, números de cartão ou códigos de uso único numa página a que chegou apenas porque um código QR lhe disse. Em vez disso, navegue para o site por si próprio.

Esse terceiro ponto corta para os dois lados, e é onde quem faz os códigos pode ajudar quem os lê. Um link curto com marca num domínio que um cliente reconhece é muito mais fácil de confiar do que um opaco, o que é parte da razão pela qual marcar um código é uma funcionalidade de segurança e não apenas de design - veja design de código QR com marca.

Se publica códigos QR virados para o cliente e quer que se leiam como dignos de confiança - o seu domínio, a sua marca, um destino que pode reapontar se alguma vez for abusado - gere códigos QR monitorizáveis com a Elido para que a sua audiência veja um nome que conhece em vez de uma string aleatória.

Se Já Leu Um Mau#

Ler e pré-visualizar um código malicioso quase não faz nada por si só, por isso se parou na pré-visualização, é muito provável que esteja bem - feche-o e continue. A exposição vem dos passos seguintes, e se os deu, mexa-se depressa.

Feche a página e não insira mais nada. Se já inseriu uma palavra-passe, mude-a no site real e ative a autenticação de dois fatores para essa conta. Se inseriu dados de cartão ou bancários, ligue ao seu banco. Se instalou ou transferiu algo, execute uma análise de segurança e remova-o. Depois denuncie - nos EUA através da FTC, e noutros lugares através do seu organismo nacional de fraude ou cibercrime - e fique de olho nas contas afetadas durante algumas semanas, porque as credenciais roubadas são muitas vezes usadas mais tarde em vez de imediatamente. A postura mais ampla para avaliar qualquer destino curto ou encurtado está em os encurtadores de URL são seguros e na checklist de segurança de encurtadores de URL.

Vale a Pena Manter os Códigos QR - Com Hábitos#

Nada disto é razão para abandonar os códigos QR. São uma ponte genuinamente útil do físico para o digital, e o formato em si não é o problema - a engenharia social envolvida à sua volta é que é. A mesma lógica aplica-se do lado da publicação: um código que controla, aponta para o seu próprio domínio, e consegue medir e reapontar é mais seguro para a sua audiência do que um descartável estático, porque consegue reagir se um destino alguma vez for comprometido.

Para as organizações, a visão de compliance é que um código QR é apenas mais um canal a transportar um link, e as mesmas regras de minimização de dados e de residência aplicam-se a tudo aquilo para que leva - o detalhe está em RGPD para encurtadores de URL e na nossa página de confiança. Leia com uma pré-visualização, verifique o domínio, nunca insira segredos numa página a que um código o empurrou, e os códigos QR continuam o que estavam destinados a ser: uma conveniência, não um passivo.

Relacionado no Blog#

Experimente Elido

Cole uma URL, obtenha um link curto

Sem cadastro. O link vive 30 dias. Cadastre-se para mantê-lo para sempre.

Grátis, sem necessidade de registo · 2 por dia

Experimente o Elido

Encurtador de URL hospedado na UE: domínios personalizados, análises profundas e API aberta. Plano gratuito - sem cartão de crédito.

Tags
are qr codes safe
quishing
qr code phishing
qr code scam
malicious qr code
qr code security

Continuar lendo