O que é, exatamente, um ataque de quishing? Como é que esta técnica de exploração funciona e que medidas pode tomar para se salvaguardar de se tornar um alvo? Vamos analisar como o quishing coloca os seus dispositivos e informações em risco.
O que é Quishing?
O quishing, também conhecido como phishing através de códigos QR, é uma modalidade de phishing que utiliza códigos QR para enganar potenciais vítimas. À semelhança de outras formas de ataques de phishing, o propósito é subtrair informações confidenciais, instalar software malicioso no seu dispositivo ou levá-lo a aceder a um sítio web fraudulento.
Os autores de atividades maliciosas aproveitam a crescente popularidade dos códigos QR, especialmente desde a pandemia, altura em que as pessoas se familiarizaram com a sua utilização.
Como Opera o Quishing?
Primeiramente, os criminosos cibernéticos planeiam um ataque de quishing ao criar um código QR que parece inofensivo à primeira vista. Existem inúmeras ferramentas online para gerar códigos QR, e até pode criar um diretamente no seu smartphone Android.
Os códigos QR podem redirecioná-lo para páginas de pagamento falsificadas, links maliciosos ou alojar ficheiros infetados com vírus. Os hackers posicionam códigos QR maliciosos em locais onde as vítimas são propensas a digitalizá-los para concretizar os seus intentos. Deste modo, códigos QR colocados em cartazes, panfletos e anúncios enganosos em locais públicos podem dissimular um ataque de phishing. Estes locais incluem restaurantes, centros comerciais, parques e aeroportos.
De Que Forma o Quishing o Pode Afetar?
Dado que os hackers utilizam códigos QR, é possível que não se aperceba que foi vítima de um ataque de quishing até que seja demasiado tarde. É, portanto, importante saber como o quishing o pode prejudicar.
1. Redirecionamento para Sítios Web de Phishing
O código QR digitalizado pode encaminhá-lo para um site concebido para imitar fielmente o conteúdo que espera encontrar. Assim, os hackers induzem-no a fornecer informações privadas, como o número de telefone, endereço de e-mail ou dados do cartão de crédito.
2. Ataque de Software Malicioso
Os códigos QR também podem albergar conteúdo como malware, ransomware ou até cavalos de Troia. Este tipo de software pode ser programado para descarregar e instalar-se automaticamente no seu dispositivo assim que digitaliza o código QR. Os hackers podem, assim, instalar novo software no seu dispositivo, furtar informações privadas ou monitorizar a sua atividade.
3. Controlo das Contas de Redes Sociais
Além de instalar malware no seu dispositivo, a leitura de um código QR pode resultar na perda de controlo das suas contas nas redes sociais. Por exemplo, a leitura de um código QR pode instalar um software que enviará mensagens de e-mail a partir da sua conta ou mensagens para outros utilizadores em plataformas como o Instagram e o WhatsApp.
Como Evitar Ataques de Quishing
Deixar de digitalizar quaisquer códigos QR pode ser uma medida demasiado restritiva. No entanto, existem formas de se proteger contra o quishing.
1. Pré-visualize o URL
Antes de aceder ao destino do código QR, o seu dispositivo irá apresentar uma pré-visualização do link. Se o URL estiver encurtado e não for possível saber qual o destino, o mais sensato é manter-se afastado.
Adicionalmente, verifique o protocolo de segurança, pois a maioria dos sites seguros utiliza o protocolo HTTPS em vez de HTTP.
2. Verifique o Destino do Código QR
Se já acedeu ao site, observe o URL. Se detetar erros ortográficos, uso incorreto da linguagem ou imagens de baixa resolução, é muito provável que se trate de um site de phishing. Além disso, se o conteúdo do site induzir uma sensação de urgência ou exigir uma ação imediata, o mais prudente é abandonar o site.
3. Utilize o Scanner QR Incorporado
Quando está com pressa, poderá ter a tentação de descarregar uma aplicação de terceiros para digitalizar um código QR ou procurar um scanner online. No entanto, estas ferramentas podem ser concebidas e usadas por hackers para realizar um ataque de quishing. Para evitar esta situação, recomendamos que utilize o scanner QR integrado na câmara do seu telemóvel.
Quishing
Tal como outras formas de ataques de phishing, o quishing representa uma ameaça séria para indivíduos e empresas. Se for vítima de um ataque de quishing, poderá demorar dias ou até semanas a aperceber-se. É por isso que deve pensar duas vezes antes de digitalizar um código QR de uma origem não verificada.