Criminosos tem usado QR-Code para instalar artefatos maliciosos nos dispositivos das vítimas. Além de espalhar QR-Codes em locais públicos, eles também têm usado a tática de substituir o código utilizado para acesso ao cardápio em restaurantes e lanchonetes. 

O especialista em cibersegurança, Fernando Bryan Frizzarin, explica os detalhes dessa tática e dá dicas de como evitar ser enganado. Para os curiosos, o alerta é dobrado. É comum restaurantes e outros tipos de estabelecimentos de refeições disponibilizarem nas mesas, ou em outros objetos sobre ela, QR-Code para que o cliente escaneie e tenha acesso a serviços como o cardápio digital. É aí que entra o criminoso: ele coloca um outro QR-Code sobre o original e quando as pessoas pensam estar acessando o serviço do estabelecimento, na verdade, são direcionadas para sites maliciosos.

Se o dono do dispositivo estiver desatento, e avançar para as etapas seguintes, o risco é evidente, como explica Frizzarin. 

“Para que qualquer instalação ocorra é necessário, além de escanear o QR-Code, seguir o direcionamento indicado por ele. E, após seguir o direcionamento, é preciso permitir que a instalação ocorra. Ou seja, há pelo menos duas chances de impedir que isso ocorra, em caso de ser algo suspeito ou não confiável. Mas, na maioria das vezes, há negligência, provocada pela curiosidade, em entender que o direcionamento ou a instalação de um aplicativo possa ser malicioso”.

A prevenção, ainda de acordo com o especialista, se resume a uma palavra: desconfie. Além disso, a dica é não autorizar qualquer acesso ou instalação que não seja estritamente solicitada e conhecida. 

“Por exemplo, em um restaurante que use cardápio virtual a partir de um QR-Code, o direcionamento deve ser para o cardápio e não deve solicitar qualquer instalação. Caso isso ocorra, cancele e avise quem estiver lhe atendendo. Isso vale para qualquer outro serviço, inclusive para pagamentos via PIX, mesmo lendo o QR-Code no local. Sempre confira o beneficiário da transação e, não sendo o estabelecimento ou a pessoa para quem você deve realizar o pagamento, cancele imediatamente, avise que aquele QR-Code pode ter sido alterado”. 

Também há dicas para quem é empresário: verifique constantemente os QR-Codes disponibilizados em seus estabelecimentos. A análise deve ser minuciosa, como checar se há algum adesivo [método utilizado pelos criminosos] com outro QR-Code colocado sobre o legítimo. “Havendo necessidade de troca do QR-Code, faça a reimpressão e nunca a correção justamente com adesivos. Isso abre margem para que criminosos se aproveitem da situação e dificulta que o cliente desconfie de alguma inconformidade ou suspeita de adulteração. Não permitam que QR-Codes estranhos sejam disponibilizados em qualquer ambiente da empresa, como interior de banheiros, recepções, refeitórios ou mesmo na fachada do estabelecimento”, detalhou Frizzarin.

Visualmente, não dá para identificar um QR-Code falso, mas a orientação é desconfiar sempre que identificar problemas na apresentação dele. “Se perceber que o QR-Code está sendo apresentado em etiqueta colada sobre outro, é um indício forte de que pode se tratar de uma adulteração para fraude”.

CURIOSOS DEVEM TER ATENÇÃO REDOBRADA

Para quem é curioso, o alerta é dobrado, pois, conforme Frizzarin, criminosos podem espalhar QR-Codes em locais aleatórios.

Essa tática já foi utilizada anteriormente, mas com pendrives. Você já encontrou algum pendrive na rua? Nessa situação, descartaria ou levaria para casa e colocaria no computador para verificar o conteúdo? Percebeu como a curiosidade pode fazer com que você leve o vírus para sua máquina? Com o QR-Code, explica Frizzarin, é a mesma tática, ele serve de isca para os curiosos. 

“QR-Codes colocados aleatoriamente pela cidade, como em placas ou postes, não atrelados a uma publicidade, também podem ser parte de um golpe que chamamos tecnicamente de baiting, que se trata de deixar uma isca para que curiosos queiram saber o que é e acabem instalando um aplicativo malicioso para que seja possível realizar um golpe ou outra atividade criminosa. Mesmo os QR-Codes utilizados em publicidades precisam ser tratados com cuidado. O acesso não deve solicitar a instalação e qualquer aplicativo, por tratar-se de peça publicitária, e caso isso aconteça deve-se cancelar a operação imediatamente. Ainda que a publicidade requeira a instalação de um aplicativo isso deve ser explicitado de forma clara, explicando o objetivo e para que aquele aplicativo serve. Sempre desconfie”, concluiu.