Códigos QR podem esconder ligações maliciosas. O que fazer para se proteger?

É cada vez mais normal a utilização do Google Lens ou outra aplicação para ler códigos QR e aceder aos seus conteúdos, normalmente o encaminhamento para algum website. Mas a Check Point Research alerta para a prática de ações maliciosas de phishing através de endereços escondidos nos códigos QR. A isso dá-se o nome de Quishing ou phishing de QR Code.

A Check Point Research diz que uma grande empresa de energia dos Estados Unidos foi vítima de um ataque de Quishing e que recebeu mais relatórios que indicam o aumento deste tipo de ações. A empresa registou um aumento de 587% nos esquemas de phishing que envolvem códigos QR entre agosto e setembro. Os investigadores do Harmony Email, pertencentes à equipa da Check Point Research, descobriram que quase todos os seus clientes foram alvo de um ataque baseado neste esquema, o equivalente a milhares por mês, salienta a empresa.

Os códigos com conteúdos maliciosos estão a aumentar, porque parecem inócuos do lado do utilizador, que os utiliza, por exemplo, para ler menus num restaurante. E o uso desta tecnologia tem vindo a crescer, sendo citados números da Statista de 2022, que mencionam perto de 89 milhões de utilizadores de smartphones nos Estados Unidos digitalizaram um código QR nos seus smartphones. Um aumento de 26% face a 2020, estimando-se que até 2025 mais de 100 milhões de utilizadores usem a tecnologia.

No exemplo partilhado de um email falso com um código QR, fazendo-se passar pela equipa de segurança da Microsoft a solicitar uma ação. A Check Point Research alerta que é muito fácil criar um código QR em websites e de forma gratuita. Uma vez que os códigos QR conduzem o utilizador a um endereço, os piratas informáticos ou outros agentes maliciosos podem colocar qualquer informação nessa ligação. Basta que coloquem uma página que recolhe as credenciais dos utilizadores. No caso do exemplo, o endereço aberto parece ser uma página da Microsoft, mas é uma página de roubo de dados.

Ao esconder a imagem do código, essa ação contornaria algumas ferramentas de análise linguística. E para combater esse sistema afirma que é necessário o reconhecimento ótico de carateres ou OCR, que converte as imagens em texto para serem compreendidas.

Os ataques não são fáceis de combater, segundo a Check Point e seria necessário adicionar o OCR a uma capacidade de deteção de códigos QR, traduzi-los para formato URL e depois passá-los nas ferramentas de análise.

A Check Point recomenda algumas práticas para se proteger, incluindo a implementação de um sistema de segurança de correio eletrónico que utilize o OCR para todos os ataques, neste caso o quishing. Deve ainda implementar uma segurança que utilize IA, MP e PNL para compreender a intenção de uma mensagem e quando esta pode ser utilizada na linguagem de phishing. Por fim, deve implementar um sistema de segurança que tenha mais que uma forma de identificar ataques maliciosos.