Phishing de código QR: o novo esquema que não pode ignorar

Os códigos QR estão em todo o lado, desde as ementas dos restaurantes às portas dos escritórios. Mas agora também são uma arma nas mãos dos cibercriminosos.
Os chamados ataques de "quishing" (phishing de código QR) estão a crescer rapidamente e a maioria dos funcionários nem sequer sabe que existem. Se a sua formação de sensibilização ainda se centra apenas nas hiperligações dos e-mails, está na altura de atualizar o seu programa.

Phishing de código QR

O que é phishing de código QR?

O phishing de código QR envolve a incorporação de links maliciosos em códigos QR que, quando lidos, direcionam os utilizadores para sites falsos, ladrões de credenciais ou downloads de malware. Estes ataques são altamente eficazes porque:

  • Contornar filtros de spam de correio eletrónico

  • Aparecer em locais onde os utilizadores não esperam ameaças

  • Explorar uma falsa sensação de segurança física (por exemplo, em materiais impressos)

Basta um simples scan. Nos dispositivos móveis, onde a visibilidade e a precaução são reduzidas, os utilizadores muitas vezes nem sequer vêem o URL completo.

 

Exemplos reais de quishing em ação

Os cibercriminosos estão a ser criativos:

  • Fraudes em parquímetros: Os falsos autocolantes QR colocados em parquímetros legítimos encaminham as vítimas para sítios de phishing que pedem informações de pagamento.

  • Phishing empresarial: os atacantes incluem códigos QR em mensagens de correio eletrónico ou folhetos impressos para contornar os controlos de segurança do correio eletrónico.

  • Recolhedores de credenciais informáticas: Os códigos digitalizáveis alegam redirecionar os utilizadores para páginas de "autenticação multi-fator", mas em vez disso roubam os dados de início de sessão.

Em 2024, várias empresas europeias comunicaram esquemas de burla de emprego de RH utilizando códigos QR em anúncios de recrutamento. As vítimas eram induzidas a carregar documentos pessoais.

Porque é que o Quishing funciona tão bem

Vários factores psicológicos e técnicos tornam o phishing com códigos QR particularmente perigoso:

  • Os utilizadores confiam mais na sinalização física do que nas mensagens digitais

  • Não há pré-visualização visível da ligação: Ao contrário das mensagens de correio eletrónico, os códigos QR ocultam o URL

  • Comportamento mobile-first: As pessoas agem depressa e pensam mais tarde nos telemóveis

  • Ponto cego da segurança: A maior parte da formação de sensibilização não abrange os riscos dos códigos QR

E, ao contrário do phishing tradicional, estes ataques podem ser lançados em ambientes fora da rede e offline: cartazes, cartões de visita, transportes públicos, etc.

Ataques com código QR

Como se defender contra o phishing de código QR

Para reduzir o risco, as organizações devem agir agora:

  1. Atualizar a formação de sensibilização para o phishing de modo a incluir as burlas baseadas em QR

  2. Ensinar o pessoal a pré-visualizar as ligações QR antes de as abrir (muitas aplicações permitem-no)

  3. Desincentivar a leitura cega de códigos QR desconhecidos ou não oficiais

  4. Utilizar leitores de códigos QR seguros que validem os destinos

  5. Simule ataques de quishing como parte dos seus testes de phishing

Sugestão: Reforce que mesmo um código QR impresso pode ser uma ligação de phishing - físico não significa seguro.

A consciência é a sua defesa mais forte

Como qualquer novo método de phishing, o quishing aproveita a confiança, a pressa e as lacunas na formação. Mas assim que o seu pessoal tiver conhecimento da tática, esta torna-se muito menos eficaz.

A segurança não se limita ao bloqueio de hiperligações - trata-se de capacitar as pessoas para reconhecerem e resistirem à manipulação em todas as suas formas.

Se o seu programa de sensibilização não inclui o phishing QR, está na altura de analisar a sua estratégia.

 

Simulação de apanha

  •  

Considerações finais

O phishing de código QR não é uma ameaça futurista - já cá está. À medida que os atacantes desenvolvem as suas tácticas, encontram novas formas de explorar as ferramentas quotidianas em que confiamos, incluindo o humilde código QR.

Este tipo de phishing funciona precisamente porque se mistura com os fluxos de trabalho modernos e contorna os controlos de segurança tradicionais. É por isso que é fundamental formar o seu pessoal, e não apenas a sua tecnologia.

A melhor defesa é uma força de trabalho informada. Ao expandir a sua formação de sensibilização para incluir ameaças emergentes como o quishing, garante que a sua equipa se mantém alerta, mesmo quando a ameaça chega de forma inesperada.

Afinal, em matéria de cibersegurança, o que as pessoas não sabem pode prejudicá-lo.

Utilize o nosso formulário Contacte-nos, se tiver alguma questão sobre como podemos ajudá-lo a si e à sua organização a manterem-se seguros contra os cibercriminosos.

Por isso, leia mais sobre as configurações técnicas na nossa WIKI aqui: Notas sobre o QR Attack.

O nosso canal no YouTube também tem muito conteúdo relevante e útil.