O que é o Quishing? Como é que se pode evitar um ataque de Quishing?
O que é um ataque de quishing? Como é que esta exploração funciona e o que pode fazer para se proteger de ser alvo? Vamos saber como o squishing coloca os seus dispositivos e dados em risco.
O que é o quishing?
O quishing, vulgarmente designado por phishing de código QR, utiliza códigos QR para enganar indivíduos desprevenidos com a intenção de obter as suas informações pessoais e confidenciais, instalar software nocivo nos seus dispositivos ou direccioná-los para sites fraudulentos para efetuar transacções não autorizadas. Este tipo de ataque cibernético emprega tácticas semelhantes aos esquemas tradicionais de phishing, em que os criminosos tentam disfarçar-se de entidades de confiança para manipular as vítimas de modo a que estas divulguem dados críticos ou realizem acções que comprometam a sua segurança.
Devido ao aumento da prevalência dos códigos QR nos últimos tempos, particularmente em resultado da sua adoção generalizada durante a pandemia de COVID-19, os agentes maliciosos tiraram partido desta tendência, explorando a tecnologia para fins nefastos.
Como é que o Quishing funciona?
Inicialmente, os cibercriminosos desenvolvem um ataque de phishing através da criação de um código QR enganador. Existem inúmeros recursos na Internet para gerar códigos QR, incluindo a utilização de aplicações para smartphones disponíveis para dispositivos Android que permitem aos utilizadores gerá-los diretamente a partir dos seus dispositivos móveis.
Os códigos QR têm o potencial de encaminhar os utilizadores para sistemas de pagamento fraudulentos, sites nocivos ou ficheiros infectados. Os cibercriminosos posicionam estrategicamente estes códigos em áreas onde as pessoas são propensas a digitalizá-los, como outdoors, panfletos e promoções enganosas em locais públicos como restaurantes, centros comerciais, parques e aeroportos.
Como é que o Quishing o pode afetar?
Devido à utilização predominante de códigos QR pelos cibercriminosos, as potenciais ramificações de um ataque de “quishing” aos bens digitais de um indivíduo podem permanecer ocultas até que já tenham ocorrido danos significativos. Como tal, compreender as consequências prejudiciais que podem resultar de tais ataques é crucial para manter medidas de segurança robustas e salvaguardar as informações sensíveis de uma pessoa.
Pode ser redireccionado para um site de phishing
Ao digitalizar um código QR fraudulento, pode ser inadvertidamente direcionado para uma réplica enganosa e convincente de uma página Web autêntica, intencionalmente criada por cibercriminosos com o objetivo de aliciar os utilizadores a divulgar inadvertidamente dados pessoais sensíveis, incluindo os seus números de telefone, endereços de e-mail e informações de cartão de crédito.
Pode ser um ataque de malware
Os códigos QR têm o potencial de transmitir software nocivo, incluindo malware, ransomware e cavalos de Troia, após a leitura. Esses programas são concebidos para serem descarregados e instalados automaticamente no dispositivo sem o consentimento do utilizador. Os cibercriminosos podem explorar esta vulnerabilidade instalando aplicações não autorizadas, comprometendo dados sensíveis ou monitorizando as actividades online de um indivíduo.
Pode controlar as suas contas de redes sociais
É importante notar que, ao digitalizar um código QR, corre-se o risco não só de ter o dispositivo infetado com software malicioso, mas também de perder o controlo sobre as suas contas de redes sociais. Isto pode incluir o acesso não autorizado ao envio de e-mails ou mensagens através de plataformas como o Instagram e o WhatsApp.
Como evitar ataques de quishing
Embora abster-se completamente de digitalizar códigos QR possa ser uma medida extrema, é importante tomar precauções para evitar ser “quished”. Existem várias estratégias que podem ajudar a mitigar este risco.
Pré-visualizar o URL
Antes de obter acesso à localização designada codificada num código QR, o seu dispositivo deve apresentar primeiro uma pré-visualização da ligação associada. Nos casos em que o URL tenha sido abreviado, tornando obscuro o destino pretendido, é aconselhável ter cuidado e abster-se de seguir a referida ligação.
Além disso, certifique-se de que as medidas de segurança estão em vigor, utilizando o protocolo HTTPS, que é normalmente utilizado em sítios Web seguros, em vez de HTTP.
Verificar o destino do código QR
Ao examinar um sítio Web que já visitou anteriormente, examine o seu localizador uniforme de recursos (URL). A presença de erros ortográficos, sintaxe incorrecta e imagens pixelizadas pode indicar uma tentativa de engano conhecida como phishing. Além disso, os sites que provocam sentimentos de urgência ou exigem uma resposta imediata devem ser evitados devido ao seu potencial para actividades ilícitas.
Utilizar o scanner QR incorporado
Quando se tem pouco tempo, pode optar-se por utilizar uma aplicação de terceiros para digitalizar um código QR ou procurar uma ferramenta de digitalização baseada na Internet. É importante notar que tais recursos podem ser potencialmente criados e explorados por cibercriminosos com o objetivo de executar um ataque de “quishing”. Para reduzir este risco, aconselhamos a utilização do leitor de códigos QR pré-instalado no software da câmara do dispositivo móvel.
Quishing Explicado
Tal como acontece com outras formas de phishing, o quishing representa um risco considerável tanto para indivíduos como para organizações.As consequências de ser vítima de um ataque deste tipo podem ser graves, exigindo frequentemente muito tempo e esforço para as identificar. Como tal, é essencial ter cuidado ao digitalizar códigos QR de fontes que não tenham sido verificadas.