Com a popularização do QR Code para tarefas do dia a dia, como acesso a serviços, pagamentos, informações, cardápios e etc, criminosos estão usando essa tecnologia para aplicar novos golpes e roubar dados confidenciais das vítimas.
Isso porque, os QR Codes físicos e digitais podem ser manipulados ou substituídos por pessoas ou malwares, programas mal-intencionados que atingem smartphones, tabletes e computadores. Assim, o usuário pode não se dar conta de que está acessando um endereço malicioso.
"Quando a maioria das pessoas vê um QR Code, seu primeiro instinto é escaneá-lo, e elas geralmente não tiram muito tempo para pensar sobre o que estão fazendo. Os golpistas contam com isso", diz o especialista da empresa de segurança Cyberark, Len Noe.
"Em geral, tenha em mente que, em um lugar público, qualquer um pode colocar um adesivo de QR Code malicioso", adverte Noe, um hacker que identifica vulnerabilidades de forma ética (chamados de "hacker de chapéu branco").
Um QR Code para pagamento em um estabelecimento comercial, por exemplo, pode ser sobreposto por um adesivo que leva o usuário a transferir o dinheiro para outra conta.
O especialista também lembra que qualquer pessoa pode baixar logotipos de empresas e do governo na internet ou manipular códigos físicos, de forma que não é isto que confere autenticidade a uma oferta ou boleto de pagamento.
Há ainda outras formas, mais sutis, utilizadas por golpistas. O executivo-chefe de segurança da Psafe, Emilio Simoni, relata a existência de programas maliciosos que podem infectar o computador, celular ou tablet e a partir disso, substituir códigos legítimos de forma automática.
"Seu computador está infectado por um malware, e ele identifica que você está abrindo algo de pagamento, como um boleto em um email, e ele troca no seu computador aquele QR Code ou o boleto", explica Simoni.
Neste caso, ele recomenda ter programas de proteção para o dispositivo, que impede por exemplo a atuação de programas maliciosos. "É sempre válido ter sistemas de proteção instalados, principalmente no celular, que hoje nossa vida está toda dentro dele, dados bancários, redes sociais, tudo."
Códigos falsos podem levar a sites falsos
Códigos falsos podem direcionar a sites parecidos com o desejado, simulando redes sociais ou bancos online. Para detectar o golpe, é recomendado prestar atenção ao link exibido ao digitalizar o código.
"Por exemplo, caso a URL tenha sido encurtada, é um sinal de alerta, visto que com este tipo de código, não há razão convincente para encurtamento", indica Fabio Assolini, diretor de pesquisa e análise da Kaspersky para a América Latina.
No início do ano, a empresa identificou golpes envolvendo o envio de boletos falsos, copiando a identidade visual de empresas, usando dados de clientes obtidos por meio de vazamentos e oferecendo pagamento por meio de QR Code.
"Os cibercriminosos imitam o visual das faturas ou sites das empresas reais, criam emails que simulam os oficiais e, assim como as empresas, oferecem descontos para pagamentos via QR Code. A vítima então abre seu aplicativo de banco, entra na opção Pix, escaneia o QR Code do boleto falso e confirma o pagamento", explica Assolini.
Neste caso, a dica é conferir o nome do titular da conta destinatária do pagamento. Após escanear o código, aparecem na tela os dados do recebedor e, em caso de fraude, o titular da conta terá nome diferente da razão social da empresa.
Carlos Afonso Gonçalves da Silva, delegado divisionário da Polícia de São Paulo, recomenda conferir o DDA (Débito Direto Autorizado) dos bancos: "É aquela aba que o boleto vai via bancária direto para o cliente através do aplicativo bancário. Não tem notícia que alguém tenha conseguido fraudar esse sistema até hoje."
Dicas do FBI para se proteger
Em janeiro de 2022, o FBI (polícia federal americana) emitiu um alerta para golpes utilizando QR Codes.
Veja as dicas do FBI para se proteger de golpes com QR Code:
- confira se o endereço do site indicado pelo QR Code é o legítimo
- cheque se códigos físicos foram manipulados, como com um adesivo colado por cima do código original
- baixe aplicativos diretamente da loja do celular, e não através de QR Codes
- se você receber um email relatando falha em um pagamento recente, ligue para a empresa para confirmar antes de pagar; utilize o número de telefone disponibilizado em canais oficiaisnão
- use aplicativos nativos de escaneamento de QR Codes
- ao receber um código de alguém conhecido, entre em contato através de um número ou endereço confiáveis para verificar
- evite fazer pagamentos através de sites vindos do QR Code; em vez disso, insira o endereço confirmado manualmente.
Fonte: com informações da Folha de S.Paulo