O Quishing, também conhecido como phishing de QR Code, se baseia em estratégias de phishing para ludibriar o usuário para que escaneie um QR Code e acesse um site fraudulento, baixe malware ou inclua informações confidenciais em um formulário. 

Com o uso de QR Code se massificando no Brasil, principalmente para o pagamento ou transferência de dinheiro via PIX, as pessoas precisam estar atentas para não cair em golpes de engenharia social. Percebendo uma oportunidade, atores mal-intencionados começaram e usar o QR Code para tornar seus ataques mais eficientes. 

Ou seja, o Quishing visa enganar as pessoas, aproveitando a ilusão de que o QR Code é inofensivo e buscando ter acesso a informações pessoais, roubar credenciais, ter acesso a dados confidenciais, entre outros. 

Enquanto os ataques de Phishing envolvem normalmente o uso de e-mails ou mensagens de texto contendo um link malicioso. O Quishing usa esses mesmos vetores, mas no lugar do link ou botão, traz um QR Code que, quando escaneado pelo dispositivo, leva a um link ou arquivo malicioso. Há casos em que golpistas colam um adesivo com o QR Code sobre códigos legítimos, facilitando o golpe. 

O que acontece ao digitalizar um Quishing? 

Apesar de usar muitas das técnicas de ataque do phishing tradicional, o Quishing é mais difícil de ser detectado e bloqueado. No Phishing, mesmo quando o usuário recebe uma imagem clicável, é possível realizar uma varredura no texto do e-mail para identificá-lo. No Quishing, a imagem do QR Code não conta com um link de texto, já que a própria imagem codificada envia o dispositivo para uma página específica. 

É exatamente essa comodidade fornecida pelo QR Code que criminosos aproveitam. Esses códigos foram projetados para facilitar o direcionamento do usuário para um site, evitando que ele precise digitar a URL completa. O resultado é o mesmo de outros ataques de phishing: inserir suas credenciais de login, suas informações pessoais ou instalar um malware no dispositivo. 

Desafios para a segurança cibernética 

Segundo a CheckPoint, o Quishing “representa um desafio de segurança único para as organizações porque envolve vários dispositivos”. Ao receber um QR Code por e-mail no desktop, por exemplo, o usuário provavelmente irá abri-lo pelo smartphone. Isso cria uma série de desafios para a estratégia de segurança cibernética das organizações, já que esse usuário pode receber o QR Code em seu e-mail profissional, mas abri-lo em um dispositivo pessoal. 

Como esse dispositivo, normalmente, não precisa seguir as políticas de segurança cibernética da empresa, pode não ter o mesmo nível de defesas para prevenir, detectar, rastrear e bloquear ataques de phishing. 

Da mesma forma, se o usuário receber a mensagem com o código em um dispositivo pessoal, ele também não será detectado pelas defesas da organização. E se ele digitalizar o código em um dispositivo empresarial, a rede corporativa pode ser infectada se o malware não for detectado e bloqueado. 

Como os QR Codes estão espalhados por todos os lados: restaurantes, meios de transporte, propagandas e embalagens de produtos, para citar alguns. Os riscos são rapidamente multiplicados. 

Como detectar um ataque de Quishing 

Basicamente, a melhor maneira de detectar um ataque de Quishing é seguir as práticas que ajudam a evitar o Phishing, como prestar atenção a erros ortográficos e gramaticais, endereço de e-mail semelhante ao de uma empresa legítima e diversos outros sinais que indiquem que é um golpe. 

E-mails de Quishing, assim como os de Phishing, geralmente tentam manipular o usuário imprimindo um senso de urgência ou emocional para que ele realize uma determinada ação. E isso pode ser detectado por sistemas baseados em inteligência artificial ou processamento de linguagem natural. 

Já em relação aos QR Codes, por serem uma imagem incorporada a um e-mail, é necessário digitalizar essas imagens para identificar códigos que levem a sites maliciosos. 

Prevenindo um ataque de Quishing 

A melhor forma de evitar um ataque de Quishing é não escanear um QR Code, principalmente aqueles de fontes desconhecidas. Mas se for realmente necessário acessá-lo, preste atenção à URL que é destacada e tente identificar letras trocadas ou URLs fraudulentas. 

Instrua os usuários sobre como os ataques de phishing funcionam e os riscos de escanear QR Codes de fontes não confiáveis e os eduque para não lerem QR Codes vindos de fontes desconhecidas. Empresas legítimas dificilmente irão enviar um e-mail com um QR Code pedindo que o usuário escaneie o código para acessar sua conta. 

Utilize um scanner de e-mail para identificar e-mails maliciosos com base no contexto. Como citado acima, após digitalizar o QR Code, verifique a URL antes de acessar o link e nunca insira informações confidenciais. Mesmo que a mensagem pareça legítima, também é possível verificar sua autenticidade entrando em contato com o remetente por um canal comprovadamente autêntico. Por fim, habilite a autenticação multifator (MFA) para reduzir o impacto de, por qualquer motivo, ter inseridos informações em um site de phishing. 

Como garantir a segurança cibernética para todos os usuários 

Com o número de usuários trabalhando de forma híbrida, podendo conectar seus dispositivos de qualquer lugar, a superfície de ataque está se expandindo rapidamente. Para reduzir riscos, a CheckPoint conta com a solução Harmony, primeira plataforma de segurança unificada para garantir a proteção de dispositivos e usuários, protegendo as conexões contra ataques sofisticados e garantindo acesso zero trust aos aplicativos da empresa. 

Seja uma tentativa de Phishing ou Quishing, um anexo de e-mail malicioso ou ransomware de dia zero, o Harmony protege os usuários de todas as ameaças e vetores de ataques cibernéticos. Como é alimentado por mecanismos revolucionários de IA e pela rede de inteligência de ameaças da CheckPoint, o Harmony interrompe ataques antes que eles aconteçam, garantindo a segurança de endpoint contra ransomware, phishing e malware. 

Além disso, torna a navegação na internet mais segura, protegendo e-mails e bloqueando ataques sofisticados de phishing e malware sem prejudicar a produtividade, além de facilitar a conexão dos usuários a qualquer recurso, sem comprometer a segurança de dados. O Harmony Mobile, ainda, se adapta facilmente ao ambiente existente, facilitando sua implementação e dimensionamento, protegendo os dispositivos sem prejudicar a experiência do usuário e sua privacidade. Entre em contato e conheça a solução CheckPoint Harmony.