+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

QR Codes: Nem Tudo é o que Parece! Desvende os Riscos e Proteja seus Dados Pessoais

Conformidade, Proteção e Privacidade de Dados

Atenção: A leitura de QR Codes pode te colocar em risco! ☠️

QR Codes: o que você precisa saber?

Os QR Codes (Quick Response)1 são códigos de barras bidimensionais que podem armazenar grandes quantidades de dados, sejam eles dados pessoais, dados pessoais sensíveis, dados comerciais, dentre outros, permitindo acesso rápido e fácil à informação pela leitura por meio de um smartphone, tablet ou dispositivos similares, com tecnologia de leitura visual. Eles podem conter mais de 4.000 caracteres em um formato compacto e legível por máquina.

Neste artigo você descobrirá como cibercriminosos podem manipular esses códigos para:

  • Instalar malwares em seus dispositivos, incluindo o temido ransomware;
  • Furtar informações pessoais e financeiras;
  • Direcionar você para sites fraudulentos.

Originados na indústria automobilística, os QR Codes se tornaram uma ferramenta amplamente utilizada em diversos setores. Seu padrão único de quadrados pretos dispostos sobre um fundo branco codifica informações que, quando digitalizadas, fornecem acesso instantâneo a dados, sites ou outros recursos digitais.

A tecnologia dos QR Codes foi inovadora e pioneira em 1994 pela Denso Wave, uma subsidiária da Toyota. Seu objetivo era simples, porém ambicioso: rastrear veículos e peças com mais precisão durante o processo de fabricação. Para isso, eles criaram um código de barras que pudesse armazenar mais do que apenas números e letras – ele também poderia incluir caracteres japoneses kanji e kana.

Atualmente, os QR Codes são utilizados de várias maneiras, como, por exemplo, para cardápios de restaurantes (Outbacks e afins) ou para acessar websites e muitos mais. De forma geral, existem três principais tipos de atividades diretamente relacionadas aos QR Codes:

  1. Consumo: Os usuários leem um QR Code para ler ou revisar algo como o cardápio de um restaurante ou outros documentos. Essa é a atividade mais comum;
  2. Compartilhamento: Os usuários apresentam seu QR Code para que suas informações sejam verificadas, como um cartão de embarque de uma companhia aérea ou bilhetes de loteria. Essa prática está se tornando comum;
  3. Geração: Não é tão comum, mas pode ocorrer se um aplicativo exigir um código para realizar uma ação, como emparelhar um smartwatch a um smartphone.

Riscos de segurança cibernética associados a QR Codes

Ao escanear um QR Code, você pode estar suscetível aos seguintes riscos:

  • Rastreamento de sua atividade online por sites que usam cookies, o que significa que seus dados podem ser coletados e usados para fins de marketing sem nenhuma hipótese legal para estes tratamentos;
  • Coleta de metadados associados a você, como o tipo de dispositivo utilizado para digitalizar o código, seu endereço IP, localização e as informações inseridas no site;
  • Exposição de dados financeiros, como o seu número de cartão de crédito, caso o tenha utilizado para comprar bens ou serviços no site.

Os QR Codes também podem representar riscos, como permitir que agentes mal-intencionados utilizem eles para infectar dispositivos eletrônicos com malwares, furtar dados pessoais ou realizar golpes por meio de Engenharia Social. O risco está no próprio conteúdo que foi gerado e potencialmente exibido para um usuário desavisado escanear, ou seja, cibercriminosos fazem uso de QR Codes falsos, em locais socialmente acima de qualquer suspeita e quando o usuário faz a leitura, isto pode ser o prelúdio para um ataque.

Dado que um QR Code não pode ser decifrado por humanos, muitos casos de manipulação de QR Codes foram relatados em todo o mundo, o que aumenta o risco da utilização desses Códigos para o processamento de pagamentos.

Os pontos pixelizados podem ser modificados por meio de várias ferramentas gratuitas amplamente disponíveis na internet. Esses QR Codes modificados podem parecer legítimos para um usuário comum, mas o QR Code malicioso redirecionará este usuário para outro site ou portal de pagamento, muitas das vezes até sites clonados, de instituições legítimas. Num geral, os cibercriminosos podem manipular QR Codes para realizar atividades maliciosas de duas maneiras principais:

  1. Incorporação Maliciosa de URL: Ao codificar uma URL prejudicial em um QR Code, os cibercriminosos podem levar as pessoas a baixarem malwares ou softwares indesejados. Uma vez escaneados, esses códigos podem iniciar o download e a instalação de malware, colocando dados pessoais em risco;
  2. Expedições de Phishing: Semelhante à incorporação maliciosa de URL, os cibercriminosos também podem direcionar os usuários para sites de phishing por meio de um QR Code. Esses sites, frequentemente disfarçados como legítimos, visam enganar as pessoas para inserirem informações sensíveis, como credenciais de login ou dados financeiros, comprometendo assim sua segurança.

QR Codes e a sua privacidade

Os próprios QR Codes não infringem sua privacidade, mas os sites que eles te direcionam podem acrescentar o rastreamento de suas informações por terceiros. O site de um varejista pode estar enviando suas informações para o número de empresas que desejar, após a leitura de um QR Code. É improvável que você pare para ler a política de privacidade quando está procurando um cardápio de sobremesas – e ainda mais improvável que o aviso de privacidade liste os “afiliados” com os quais o site compartilha dados. Geralmente, nesses avisos, frases genéricas fazem esse papel, como, por exemplo, os seus dados poderão ser compartilhados com os nossos parceiros.

Mesmo que um restaurante ou varejista não compartilhe suas informações com rastreadores, isso não significa que os dados não sejam alavancados de forma alguma. Por exemplo, uma ferramenta de compras de refeições, habilitada para QR Codes, pode utilizar dados do cliente de um restaurante para direcionar ações der marketing. Talvez você peça uma refeição no seu endereço residencial e, mais tarde, receba um cupom em sua caixa de entrada de e-mails, para o bar de coquetéis na mesma rua.

O problema real de privacidade com os QR Codes é o amplo aparato de rastreamento do qual os códigos fazem parte. E, com o insistente descumprimento de leis como a Lei Geral de Proteção de Dados (LGPD), a Lei n.º 13.709, de 14 de agosto de 2018, por pessoas jurídicas de direito privado e até mesmo de direito público, isso não vai desaparecer.

“Se você está chateado com isso, você deveria realmente repensar como utiliza os seus dispositivos e se inteirar das técnicas que empresas e criminosos utilizam para conseguir os seus dados pessoais. Em realidade, isso é uma preocupação para o resto de sua vida.”

Reduzindo os riscos ao utilizar QR Codes

Medidas de Proteção:

Ao entender esses riscos e tomar as precauções necessárias, os usuários podem mitigar significativamente as ameaças potenciais apresentadas por QR Codes maliciosos.

  • Verifique Antes de Escanear: sempre confirme a origem de um QR Code antes de escaneá-lo. Se for de uma fonte desconhecida ou suspeita, não prossiga;
  • Usar Scanners Seguros de QR Codes: alguns aplicativos de scanner de QR Codes oferecem recursos adicionais de segurança, como verificação da URL em busca de ameaças de segurança conhecidas antes de abri-la;
  • Manter-se Informado: atualize-se regularmente sobre as últimas práticas de cibersegurança e qualifique o seu time sobre os riscos associados aos QR Codes, através de capacitações de Engenharia Social;
  • Modo de navegação privada: utilize esse modo em seus dispositivos e considere usar um navegador com recursos anti-rastreamento. No momento, a melhor maneira de evitar o rastreamento ao visitar um site por meio de um QR Code – ou de qualquer outra maneira – é ativar o modo de navegação privada, mesmo que já tenha sido provado que empresas continuam coletando seus dados mesmo com este tipo de navegação. De todo, esta ação reduzirá o rastreamento por terceiros. Considere utilizar outros navegadores como Brave e DuckDuckGo;
  • Seja cauteloso: verifique cuidadosamente a URL do site e se senhas ou informações de login são solicitadas após o escaneamento de um QR Code;
  • Cookies: verifique as configurações do navegador para desativar cookies e o armazenamento de dados do site;
  • Minimização: forneça a quantidade mínima de informações pessoais solicitadas ao preencher formulários online. Não responda todos os questionários online que te encaminham ou que você recebe em grupos de WhatsApp, mesmo de pessoas conhecidas. A final, talvez, elas não estejam tão preocupadas como você;
  • Avisos de Privacidade: leia os avisos de privacidade de empresas que estejam escaneando QR Codes para check-ins ou prestação de outros serviços.
  • Relate fraudes suspeitas ou incidentes cibernéticos: dentro da sua empresa, em delegacias especializadas ou para Autoridade Nacional de Proteção de Dados, quando envolver dados pessoais e/ou dados pessoais sensíveis;
  • Dispositivos eletrônicos: configure seus dispositivos para solicitar permissão e verificação antes de executar a ação do QR Code;
  • Navegador de Internet: feche o navegador da web se o QR Code escaneado abrir um site suspeito;
  • Atualizações automáticas: ative as atualizações automáticas para seus dispositivos.

Algumas outras ações a serem evitadas

  • Autorizar seus dispositivos a executarem automaticamente ações ao lerem QR Codes;
  • Escanear um QR Code publicado em um ambiente público, como em uma estação de transporte público ou anúncios na rua;
  • Escanear um QR Code se estiver impresso em um rótulo que possa estar cobrindo outro QR Code. Peça a um membro da equipe para verificar sua legitimidade primeiro. O estabelecimento pode simplesmente ter atualizado seu QR Code original;
  • Escanear QR Codes recebidos por e-mail ou mensagens de texto, a menos que saiba que são legítimos;
  • Usar aplicativos de scanner de QR Codes lançados por empresas ou instituições desconhecidas;
  • Colocar a conveniência antes da segurança. Digite um URL do site para visualizar o conteúdo, como um cardápio de restaurante online, em vez de escanear um QR Code.

Palavras Finais

Problemas de segurança cibernética estão em constante ascensão. Dentro da mudança caótica do mundo em direção à digitalização, muitos cibercriminosos têm desenvolvido vetores de ataque inovadores para explorar pessoas e organizações. Riscos e ameaças de QR Codes são alguns exemplos dessas ações. Portanto, em meio a todos esses problemas, é melhor tentar garantir a sua privacidade e a sua segurança permanecendo vigilante.

Se você estiver por aí e vir um QR Code em uma parede, prédio, tela de computador ou até mesmo um cartão de visita, não o escaneie. Um cibercriminoso pode colar facilmente um QR Code malicioso sobre um real e criar suas próprias cópias, e com base na aparência, você não tem ideia se o conteúdo é seguro ou malicioso. Sempre que puder, evite QR Codes.

Referências Bibliográficas

IEEE. Risks of Using QR Codes and How To Mitigate it – Not As Safe as You Think. Disponível em: https://www.computer.org/publications/tech-news/trends/qr-code-risks. Acesso em: 05 mar. 2024.

DUKE UNIVERSITY. QR Code Security Guide. Disponível em: https://security.duke.edu/security-guides/qr-code-security-guide. Acesso em: 05 mar. 2024.

FORBES. I Don’t Scan QR Codes, And Neither Should You. Disponível em: https://www.forbes.com/sites/forbestechcouncil/2020/06/01/i-dont-scan-qr-codes-and-neither-should-you. Acesso em: 05 mar. 2024.

GOVERNMENT OF CANADA. Security considerations for QR codes ITSAP.00.141. Disponível em: https://www.cyber.gc.ca/en/guidance/security-considerations-qr-codes-itsap00141. Acesso em: 05 mar. 2024.

KASPERSKY. Disponível em: QR Code Security: What are QR codes and are they safe to use? Acesso em: 05 mar. 2024.

MALWAREBYTES. QR Codes: How they work and how to stay safe. Disponível em: https://www.malwarebytes.com/cybersecurity/basics/what-is-a-qr-code. Acesso em: 05 mar. 2024.

TECHRADAR. Why you should think twice before scanning QR Codes. Disponível em: https://www.techradar.com/QR-codes-malware-risk. Acesso em: 05 mar. 2024.

THE WASHINGTON POST. QR codes are a privacy problem — but not for the reasons you’ve heard. Disponível em: https://www.washingtonpost.com/technology/2021/10/07/are-qr-codes-safe. Acesso em: 05 mar. 2024.

Notas

  1. Os QR Codes mais comuns são os estáticos. Contudo, também há os QR Codes dinâmicos. Esses códigos são gerados uma vez, mas os dados armazenados neles podem ser editados em qualquer data posterior. Eles podem incluir proteção por senha e análises embutidas, para que os seus criadores possam rastrear como são usados. ↩︎

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Open chat
Olá 👋
Como podemos te ajudar?