O constante avanço da digitalização em transações financeiras e das instituições bancárias facilitou muito o dia a dia de qualquer usuário. Em contrapartida, a praticidade em movimentar dinheiro abriu portas para fraudadores investirem em novas modalidades de golpes online, como clonagem de redes sociais e números de WhatsApp e geração de QR Codes alterados. Esse último tem sido cada vez mais registrado não só no Brasil, mas em todo o mundo, e recebe o nome de Quishing.
A nomenclatura deriva de uma outra prática criminosa que existe no mundo digital, o Phishing, que acontece quando o usuário é enganado pelo golpista por meio de links que são usados como “isca” para atrair a pessoa para um site falso ou página modificada. A prática quase sempre tem relação com fraudes financeiras, mas também existem registros de links que servem para extrair dados pessoais, como e-mail, CPFs e senhas.
Segundo o gerente de engenharia de segurança da Check Point Software Brasil, Fernando de Falchi, o modelo de golpe teve aumento recente de 500% e, segundo relatório da empresa, de agosto de 2023 até março de 2024, mais de 30 mil ataques de Quishing foram registrados no mundo. Só nas últimas três semanas foram mais de 2 mil tentativas espalhadas por mais de 1.100 clientes em diferentes regiões no mundo.
Para Falchi, a expansão do Quishing vem da alta demanda que a população tem em usar QR codes para pagamentos e acessos a sites do dia a dia. Dos bancos até um simples cardápio de restaurante. O especialista ressalta que, ao acessar um QR code falso, o usuário está munindo os “atacantes” (como ele define os criminosos) com informações que, inicialmente, parecem inofensivas.
“O que o cara vai fazer com o meu e-mail? O que ele vai fazer com o meu CPF? Existem muitos ataques que podem ser programados depois de conseguir essas informações. Se ele tem a informação de nome, CPF e e-mail, por exemplo, ele pode abrir uma conta nesses bancos digitais, ter um ganho financeiro, e te envolver em problemas”, explica Falchi.
Como os ataques acontecem?
Os tipos de golpes envolvendo QR codes tem ganhado novos formatos. O mais conhecido é o golpe do Pix, onde o QR code enviado ao usuário não corresponde ao produto ou pessoa que a transferência deveria chegar e o dinheiro é passado para contas específicas para receber o valor desviado. Rapidamente, a quantia é repassada e o consumidor não consegue recuperar o que gastou.
Agora, outro formato de Quishing tem sido registrado por empresas do ramo de segurança digital e tem como alvo e-mails corporativos. Nesse caso, os “atacantes” simulam um e-mail padrão da empresa, utilizam a própria marca do negócio, e alegam problemas com a senha do usuário. Há uma solicitação para que o dono do e-mail acesse o QR code da tela e siga com o procedimento de alteração de informações. É neste momento que os dados são roubados e podem comprometer não só a pessoa física, mas também a instituição que foi alvo da ação.
Leia também
O analista de segurança cibernética da Check nos Estados Unidos, Jeremy Fuchs, afirma que o fato dos QR codes transmitirem confiança influencia a vítima a agir com um certo impulso.
Foi o caso do ator Dimitri Spichinkovff, 24, que foi seduzido por um golpe de investimentos a partir de uma conta de uma influenciadora do Instagram que havia sido hackeada. Com a promessa de ganhos rápidos e valores três vezes maiores que o seu investimento, confiou no QR code do pix enviado e passou o dinheiro.
O valor foi perdido e hoje o jovem se mostra muito mais atento. “Depois disso aprendi a perceber pequenos detalhes de para onde o dinheiro vai. Além disso, comecei a perceber o que a propaganda do investimento diz e quem é que aparece nas imagens. Muitas vezes a conta que passa essa informação nunca falou de investimentos ou transferências e do nada começa a aparecer esse conteúdo”, explica Spichinkovff.
Como se proteger?
Fica mais atento no que está clicando é o primeiro passo para se livrar não só do Quishing, mas de todo golpe virtual. Falchi diz que é importante perceber o padrão que está presente no e-mail da sua empresa, por exemplo. Se há frequência de e–mails enviados com QR codes para alterar informações. Caso não haja, sempre desconfie e entre em contato com os responsáveis pelo setor. No caso de pagamentos bancários, certifique-se que o destinatário do PIX condiz com o verdadeiro.
A aplicação desses golpes via smartphones também tem sido mais comuns. Isso porque as versões mobiles são mais difíceis de visualizar para onde o QR code irá te redirecionar e, como acontece na maioria dos casos, é nos celulares que o código é lido. No caso do desktop, basta passar o mouse por cima da URL que aparece, mostrando o endereço de destino.
Para as empresas, o gerente de engenharia de segurança da Check Point afirma que é necessário investir em ferramentas de proteção. Falchi ressalta que, mesmo que o funcionário use um celular particular no trabalho, é importante seguir as orientações da empresa e instalar os programas necessários para garantir a segurança.
Conheça a “família” dos golpes online
Phishing Direcionado: Ataques de phishing direcionado são voltados a um indivíduo específico ou a um pequeno grupo. O atacante pesquisa seu alvo e inclui detalhes personalizados que fazem o ataque parecer plausível e real.
Vishing: Vishing ou “phishing por voz” é um ataque de phishing realizado por telefone. Em vez de usar links ou anexos maliciosos como em ataques de phishing baseados em computador, os fraudadores tentam convencer seus alvos a entregar informações sensíveis, como detalhes de cartões de crédito ou informações pessoais identificáveis (PII), ou a instalar malware em seus próprios computadores.
Smishing: Smishing é um ataque de phishing realizado usando mensagens de texto SMS. Essas mensagens comumente fingem que há algum problema com a conta do alvo em um serviço e incluem links para páginas de phishing projetadas para coletar as credenciais do usuário para aquela conta.
Whaling: Ataques de whaling são um tipo específico de ataque de phishing direcionado focado em executivos de alto nível. Esses executivos têm o poder de autorizar grandes transferências financeiras ou divulgar informações sensíveis, tornando-os um alvo potencial de alto valor para um fraudador.
Clone Phishing: Clone phishing envolve enviar um e-mail de phishing a um usuário que imita um e-mail que ele já recebeu anteriormente. Por exemplo, se o “atacante” sabe que o usuário recebeu um e-mail de rastreamento de entrega, ele pode enviar um e-mail idêntico que inclui um link para um site malicioso.
Envenenamento de SEO (SEO Poisoning): Alguns ataques de phishing direcionam usuários a sites maliciosos manipulando os resultados de buscas comuns. Por exemplo, um atacante pode comprar anúncios pagos em um motor de busca para fazer com que uma página de phishing imitando uma marca confiável apareça primeiro nos resultados de busca.
Comprometimento de Email Empresarial (BEC): Ataques BEC, também conhecidos como fraude de CEO, envolvem o atacante se passando pelo CEO ou um executivo de alto nível. O atacante então instrui outro empregado a tomar alguma ação, como enviar dinheiro para a conta bancária do atacante.
Spam: Spam inclui e-mails indesejados que são desenhados para roubar dinheiro ou dados sensíveis de seu alvo. Por exemplo, um e-mail de spam pode dizer ao usuário que ele precisa visitar um website específico para atualizar sua senha.
