O que é Quishing ou Phishing de QR Code?

Suponha que você receba um e-mail frio ou uma mensagem instantânea informando sobre alguns pagamentos feitos em sua conta, e você está prestes a escanear um código QR anexado a ele. Em apenas uma fração de segundo, essa ação pode expor sua conta bancária, senhas e dados pessoais se for um código QR malicioso.  

Quishing é um ataque cibernético de rápido crescimento que tenta roubar informações confidenciais dos usuários usando códigos QR falsos. Este ataque estratégico tem como alvo principal os chefes e executivos de negócios. De acordo com um relatório de 2024 da Abnormal Security Corp., Executivos de alto escalão recebem ataques de phishing de QR 42 vezes mais do que funcionários comuns. O comprometimento de e-mail comercial (BEC), um método popular de ataque cibernético usando e-mails falsos, aumentou impressionantes 108% entre 2022 e 2023.

Com o uso crescente de códigos QR na vida cotidiana, o quishing está se tornando mais proeminente. Portanto, todo usuário de QR code deve conhecer as atividades ou práticas maliciosas associadas aos QR codes e ações preventivas contra phishing de QR code. 

Significado de quishing ou phishing de código QR

“Quishing” ou phishing de código QR é uma tentativa bem planejada de enganar usuários de código QR para que visitem links e sites maliciosos. Ao escanear e clicar em um código QR malicioso, os usuários são levados a um site de phishing que leva ao comprometimento de suas informações confidenciais.

O Quishing frequentemente ignora sistemas de segurança convencionais, como gateways de segurança de e-mail, pois os sistemas percebem códigos QR anexados a um e-mail como imagens inofensivas. Como resultado, muitos usuários de códigos QR se tornam vítimas de phishing de e-mail. 

Como funciona o quishing?

Quishing funciona quando os usuários clicam intencionalmente ou não em um link fraudulento que aparece ao escanear um código QR malicioso. Os ataques de phishing visam principalmente roubar informações pessoais e financeiras, como detalhes de cartão de débito ou crédito, credenciais de login ou informações de identificação pessoal.

Golpistas usam informações confidenciais dos usuários para fraude financeira, roubo de identidade, acesso não autorizado à conta ou ransomware. Eles geralmente usam códigos QR maliciosos por meio de folhetos e pôsteres impressos, e-mail e plataformas de mídia social. 

Ao escanear o código QR, os usuários são levados a um site ou link falso. As vítimas geralmente são solicitadas a inserir informações confidenciais, como nomes de usuários, e-mails, data de nascimento, detalhes bancários e senhas de login de conta.

Principais estatísticas de phishing de QR para observar

• A rápido aumento no uso de smartphones para leitura de códigos QR é uma razão crucial por trás da crescente taxa de abandono. Statista disse quase 89 milhões de americanos escanearam um código QR usando seus smartphones em 2022. O número pode chegar a 100 milhões de usuários em 2025.  
• Na China, até 10 bilhões de dispositivos móveis foram usados ​​para pagamentos com código QR em 2022. 
• De acordo com um relatório, o número total de usuários de smartphones em todo o mundo ultrapassaram 4.88 bilhões em 2024, representando 60.42% da população mundial.

O phishing de código QR também aumentou significativamente. Vamos ver alguns dados:

• De acordo com um relatório da Check Point Software Technologies, Golpes de phishing de código QR UPI na Índia aumentou mais que o dobro, de 15,000 casos em 2022 para mais de 30,000 casos em 2023. 
• Mais de 3 bilhões de e-mails de phishing são enviados todos os dias, resultando em mais chances de usuários de códigos QR caírem em golpes.
• O Gmail bloqueia mais de 100 milhões de tentativas de phishing todos os dias. 
• Conforme explicado por Pymnts, os códigos QR foram responsáveis ​​por mais de 20% de todos os golpes online.
• De acordo com as IBM, o custo médio global de violação de dados em 2024 seria de US$ 4.88 milhões — um aumento de 10% em relação ao ano passado e o maior total de todos os tempos.
• Conforme Pesquisa sobre violações de segurança cibernética 2024 segundo o GOV.UK, o phishing continua sendo o tipo mais comum de violação e ataque à segurança cibernética, tendo como alvo 84% das empresas e 83% das instituições de caridade no Reino Unido.

Como nos protegemos de ataques de phishing de QR?

Aqui estão os principais insights sobre como proteger suas informações pessoais e evitar phishing de código QR. 

✅ Nunca aceite códigos QR não solicitados: Evite escanear o código QR anexado a e-mails ou postagens em mídias sociais quando você não conhece o remetente. Não escaneie códigos QR aleatoriamente em locais públicos. Seja cauteloso com os códigos QR compartilhados por e-mail ou mídias sociais, especialmente se você não os solicitou.

✅ Verifique a fonte antes de digitalizar: Confirme a autenticidade do código QR antes de escanear, mesmo que você ache que sabe a fonte. Você pode verificar o nome do remetente pesquisando online ou entrando em contato com a empresa diretamente antes de escanear.

✅ Verifique novamente a URL do código QR: Aguarde um tempo antes de clicar na URL que aparece após escanear o código QR. Verifique novamente a URL do código QR para ver se ela corresponde à empresa que você conhece ou ao site que você espera visitar. Não clique em URLs suspeitos.  

✅ Identifique sinais de phishing: Compare o código QR que você recebe em e-mails com o salvo na sua conta Google Wallet ou UPI. Você pode ver as diferenças, como erros gráficos e discrepâncias de endereço de e-mail. Evite escanear o código QR que cria uma sensação de urgência para tomar uma ação ou uma mensagem com gramática ruim.  

✅ Esteja atento às informações fornecidas online: Não aceite e-mails ou mensagens de texto de remetentes desconhecidos solicitando suas informações pessoais e financeiras. Você deve ter 100% de certeza de que é seguro escanear o código QR antes de fornecer informações confidenciais, como número de contato, data de nascimento, credenciais de login, detalhes do cartão de crédito, etc. 

As empresas podem tomar algumas medidas adicionais para evitar a demissão, como segue:

☑️ Implementando autenticação de dois fatores: O phishing por e-mail é a ameaça empresarial mais comum. Usando dois fatores ou Autenticação multifatorial evitará que invasores de comprometimento de e-mail comercial (BEC) invadam e-mails comerciais. 

☑️ Atualizar software e recursos de segurança: Atualize seu software para a versão mais recente e mantenha recursos de segurança avançados para ajudar a evitar ataques de phishing.

☑️ Treinamento de conscientização de segurança para funcionários: Transmitir conscientização sobre segurança cibernética e treinar seus funcionários sobre segurança de QR code pode ajudar as empresas a evitar perigos de quishing. Por meio do treinamento, os funcionários podem aprender a identificar tentativas de BEC e implementar práticas como confirmar a fonte dos QR codes ou solicitações de pagamento. 

E se uma organização já for vítima de assassinato?

Vamos supor que sua organização já seja vítima de phishing de QR code. Você deve adotar os seguintes passos para impedir a disseminação do golpe ou, pelo menos, reduzir os danos. Veja como você deve fazer isso. 

➡️ Remova o código QR imediatamente: Remova ou substitua o código QR malicioso imediatamente de seus espaços físicos e digitais existentes, incluindo pôsteres impressos, menus, mídias sociais e sites. Isso ajudará a evitar a escalada adicional do ataque de phishing.

➡️ Notifique os clientes e funcionários com urgência: Alerte clientes, parceiros de negócios e funcionários sobre o ataque de phishing e explique a situação claramente. Estabeleça uma comunicação adequada dando instruções claras sobre como lidar com a situação. A comunicação oportuna pode salvar os clientes de perdas financeiras e roubo de dados pessoais, evitando que as empresas tenham uma imagem de marca ou reputação ruim.  

➡️ Identifique a origem dos códigos QR fraudulentos: Conduza uma avaliação completa da fonte do código QR e seu destino alvo. Investigue o motivo do quishing identificando se os usuários são direcionados a um site de phishing ou baixam conteúdo malicioso. A intervenção e investigação oportunas podem proteger clientes e organizações de danos maiores. 

➡️ Relate o incidente à equipe de segurança: Relate o ataque de phishing imediatamente às autoridades relevantes. Por exemplo, se sua organização tiver uma equipe de segurança separada, relate o incidente à equipe assim que detectar ou perceber o quishing. As organizações podem registrar uma reclamação em uma célula local de crimes cibernéticos. As autoridades podem tomar contramedidas apropriadas para evitar que outras organizações enfrentem o mesmo incidente. 

➡️ Comunique a resolução do problema: Informe seus clientes, funcionários e outras partes interessadas do negócio assim que sua organização resolver os problemas. Você pode atualizá-los sobre suas ações para lidar com a situação. Restaurar a confiança e tranquilizar os clientes de que sua organização os apoia é essencial.

Conclusão

Hoje em dia, os códigos QR estão em todo lugar, e também o potencial para quishing. Usuários de QR devem ser cautelosos ao usar códigos QR, especialmente ao escanear um código QR anexado a um e-mail, texto ou publicação de mídia social de fontes desconhecidas. 

As empresas devem perceber a ameaça potencial dos códigos QR quando usados ​​para ataques de phishing. Tomar contramedidas apropriadas permitirá que as empresas se protejam do phishing de código QR.

Perguntas frequentes