Nova ameaça via códigos QR: seu telefone pode ser infectado apenas escaneando-o!

O phishing por meio de códigos QR, também conhecido como “Quishing”, se tornou mais perigoso do que nunca, pois os invasores exploram esses códigos de maneiras inovadoras para hackear dispositivos e roubar dados.

De acordo com reportagem publicada pelo site Ângulo de SilícioOs cibercriminosos agora estão incorporando JavaScript malicioso em códigos QR, executando-os automaticamente assim que o código é escaneado. Ainda mais perigoso: os usuários visados ​​nem precisam clicar no link que aparece após a leitura para que seus dispositivos sejam comprometidos.

Este método difere de Ameaças tradicionais aos códigos QR, que simplesmente redirecionava os usuários para sites maliciosos quando eles clicavam no link exibido após a verificação.

Em vez disso, esse novo método envolve a incorporação de HTML e JavaScript diretamente em códigos QR usando Identificadores Uniformes de Recursos (URIs). Isso significa que o malware pode operar inteiramente dentro do navegador, onde pode assumir o controle de páginas de login, espionar o que está sendo digitado (keylogger) e lançar exploits imediatamente.

Uma vez ativado, o JavaScript malicioso também pode extrair dados usando formulários ocultos e identificar a impressão digital do dispositivo. Ainda mais preocupante é que esse código malicioso pode contornar a maioria dos programas, ferramentas e sistemas de segurança, pois o malware está incorporado no próprio código e, portanto, não se conecta a nenhuma URL externa durante a execução. Da mesma forma, Relatório INKY Neste tópico, os invasores já estão usando essas novas técnicas de phishing para se esconder Malware perigoso E escapar da detecção.

Como se proteger de códigos QR maliciosos: um guia completo

É evidente, mas enfatizamos: Evite escanear códigos QR desconhecidos.Com certeza. Se a fonte for desconhecida ou indesejada, não a digitalize. A segurança digital começa com cautela.

Se você receber um e-mail ou mensagem de texto solicitando a leitura de um código QR para concluir uma ação ou atividade, especialmente se a mensagem transmitir um senso de urgência, entre em contato com o remetente diretamente por meio de um número de telefone conhecido, canal de bate-papo ou informações de contato oficiais da empresa — não respondendo ao e-mail ou mensagem de texto que enviou a solicitação. Verifique independentemente se eles exigem a leitura do código. Esta é uma etapa crucial para verificar a autenticidade da solicitação e evitar ser vítima de fraude.

Nunca forneça informações de login ou quaisquer outros dados pessoais sensíveis após escanear um código QR, a menos que tenha absoluta certeza de que o site que está visitando é legítimo. Verifique a URL com atenção, mesmo que pareça boa à primeira vista. Golpistas costumam usar URLs muito semelhantes às originais para enganar os usuários.

Ao mesmo tempo, você também deve desativar o recurso que abre automaticamente o navegador no seu sistema operacional móvel ou o aplicativo de leitura de QR Code. Isso impedirá que o scanner abra links antes que você tenha a chance de verificá-los. Além disso, certifique-se de usar um leitor de QR Code que exiba a URL antes de abri-la. Essas configurações fornecem uma camada adicional de proteção contra links maliciosos.

Assim como em qualquer ameaça de phishing, seja extremamente cauteloso e desconfie de qualquer mensagem (e-mail, mensagem de texto ou mídia social) que transmita uma sensação de urgência ou ameaça. Qualquer coisa que inclua uma ameaça de desativação da conta, ação judicial, suspensão da conta, login não autorizado ou uma exigência para agir imediatamente deve ser tratada como um ataque em potencial. Essas táticas são comuns em tentativas de phishing e visam pressionar os usuários a tomarem decisões precipitadas.

Se você receber um e-mail suspeito contendo um código QR, denuncie à sua equipe de TI ou segurança no trabalho. Se vir uma mensagem semelhante na sua conta pessoal, você sempre pode denunciá-la como spam ou possível phishing. Denunciar essas mensagens ajuda a proteger outras pessoas de serem vítimas de fraudes.

Dada a imensa popularidade dos códigos QR e o quanto as pessoas se acostumaram a escaneá-los em restaurantes e outros locais públicos, não acredito que essa ameaça desapareça tão cedo. Espero que tanto o Google quanto a Apple trabalhem para implementar maneiras de proteger os usuários de Android e iPhone contra códigos QR maliciosos. Desenvolver mecanismos de segurança robustos é crucial para manter os usuários seguros nesta era digital.