Esse código QR é uma farsa? Como detectar uma fraude antes que seja tarde demais

BlackJack3D/iStock / Getty Images Plus via Getty Images

Siga ZDNET: Adicione-nos como fonte preferencial no Google.


Principais vantagens do ZDNET

  • Um código QR em seu e-mail ou anexo pode ser uma farsa.
  • O phishing de código QR ignora o MFA, levando ao roubo de dados.
  • Como funcionam os ataques de spam e o que você pode fazer para se manter seguro.

Você já recebeu um código QR em sua caixa de entrada e a curiosidade tomou conta de você?

Quando pensamos em phishing e golpes, muitos dos truques mais antigos são aqueles que ainda encontramos todos os dias: e-mails alegando ter parentes há muito perdidos que nos deixaram uma herança; Um aviso do Facebook de que nossas contas serão congeladas a menos que respondamos imediatamente; ganhos de loteria falsos; e solicitações não solicitadas de supostos investidores que desejam transferir milhões de dólares para nós.

O phishing móvel também é uma ameaça maior do que o e-mail no momento

No entanto, os tempos estão mudando. Os golpes de recrutamento estão se tornando sofisticados o suficiente para convencer os candidatos a emprego a se envolverem; A IA é usada para humanizar e melhorar as tentativas de phishing e até mesmo automatizar cadeias inteiras de ataques; e agora está surgindo um vetor de ataque que transforma códigos QR em armas para contornar a autenticação multifator (MFA), roubar nossos dados e sequestrar nossas contas.

Quishing: a fraude QR está aumentando

Phishing, ou phishing baseado em código QR, incorpora links maliciosos em códigos QR para contornar filtros de phishing tradicionais e escapar de redes de segurança. A isca é a mesma: criar um senso de urgência, apelar à nossa ganância, incutir medo e pânico ou prometer uma recompensa por escanear um código QR com nossos telefones e clicar em um link incorporado para visitar uma página ou plataforma online.

Além disso: a Microsoft está apostando tudo em sua nova estratégia de segurança do Windows baseada em IA

Um esquema de phishing de código QR pode assumir várias formas. Uma mensagem falsa do seu banco, um e-mail parabenizando você por ganhar na loteria ou uma mensagem urgente do seu provedor de mídia social. Depois de escanear o código e clicar no link, você pode ser levado a um domínio projetado para roubar seus dados ou hackear uma conta sua.

De acordo com Hoxhunt Relatório de tendências de phishing de 2026O phishing básico de e-mail com código QR está em declínio, mas está ressurgindo como um vetor de ataque oculto em anexos de e-mail fraudulentos, como arquivos PDF maliciosos.

No geral, os ataques de phishing por código QR aumentaram 25% ano a ano. Não se trata apenas de espaços digitais, já que códigos QR também foram vistos em locais físicos, incorporados em cartazes ou estampados em cartões de visita falsos, afirma o relatório.

Como os invasores escapam das proteções do MFA

A pesquisa de Hothunt é apoiada por um Anúncio de junho da equipe de confiança e segurança do Google alertando que os vetores tradicionais de ataque por e-mail estão sendo substituídos por ataques adversários no meio (AITM) e de extinção.

Livre-se dos pares com AITM mascarando links maliciosos em um formato difícil de ler ou detectar com filtros de segurança. De acordo com o Google e Microsoftfunciona assim: você recebe um e-mail e a curiosidade solicita que você escaneie o código. Você é então redirecionado para um site clonado que parece ser o domínio de um serviço confiável, como um banco, um provedor de serviços financeiros ou até mesmo uma plataforma de empregos.

Também: Como criar um código QR gratuitamente

Em seguida, você envia suas credenciais, permitindo que um invasor ignore as proteções existentes de autenticação multifator (MFA) porque você pensa que está fazendo login em um site confiável. Eles podem então obter sua senha e token de sessão, levando ao roubo de dados, invasão de conta e muito mais.

O que torna esta tática mais perigosa do que o phishing tradicional, especialmente para as empresas, é que as vítimas utilizam os seus telemóveis para ler o código QR, contornando a segurança baseada na Web e as redes de proteção, como a deteção de phishing.

A equipe do Microsoft Defender observou que as campanhas cibercriminosas baseadas em códigos QR cresceram de 10% para 30% do total das campanhas de phishing nos últimos meses.

Como evitar phishing de código QR

Como os códigos QR ocultam destinos, links e conteúdo em um formato semelhante a uma imagem, não podemos ver o que está dentro ou verificar facilmente sua origem, portanto, ler e seguir cegamente um código QR é arriscado.

Os códigos QR, especialmente aqueles que você não espera, devem ser tratados com a mesma suspeita que links ou anexos de e-mail. Só porque o formato é diferente, o ângulo do phishing permanece o mesmo: coagir ou explorar a curiosidade da vítima e induzi-la a clicar e visitar um recurso online malicioso. A única diferença aqui é o mecanismo de entrega – em vez de um link direto ou arquivo, a vítima usa uma câmera para fazer a varredura.

Além disso: Melhor software de remoção de malware: testado e revisado por especialistas

O melhor conselho aqui é ser cauteloso. Se você receber um e-mail com um código QR que parece ser do seu banco, visite o site oficial do seu banco em uma guia separada ou abra o aplicativo móvel do banco. Mesmo que uma mensagem pareça legítima, por razões de segurança, você não deve clicar em links, abrir anexos ou escanear códigos QR, a menos que tenha certeza absoluta de que a fonte é legítima e o conteúdo da mensagem é seguro.

Observe também que a ameaça do código QR não se limita aos e-mails. Veja Adesivo de código QR bateu em um poste de luz em sua loja favorita? Até mesmo adesivos físicos com códigos QR podem comprometer seriamente sua privacidade e segurança.



Link da fonte