Os códigos QR estão a tornar-se cada vez mais parte do quotidiano, estando presentes em menus de restaurantes, bilhetes de transporte, parquímetros, eventos, pagamentos e até em campanhas de marketing. Mas essa ubiquidade está a transformar-se numa oportunidade para burlões. Segundo especialistas citados pelo The Conversation, a proliferação de códigos QR falsificados está a alimentar um novo tipo de fraude digital que explora a confiança dos utilizadores e a dificuldade em distinguir um código legítimo de um malicioso.
Ao contrário de ataques mais sofisticados, falsificar um código QR é surpreendentemente fácil, bastando para isso imprimir um autocolante com um código malicioso e colá-lo sobre o original, seja num parquímetro, numa máquina de venda automática, num cartaz ou até num restaurante. E quando o utilizador o digitaliza, pode ser redirecionado para páginas falsas de pagamento, sites que recolhem dados pessoais, downloads de malware ou plataformas que imitam serviços oficiais.
A simplicidade do esquema torna-o especialmente perigoso, uma vez que não exige conhecimentos técnicos avançados e pode ser executado em larga escala. Nos Estados Unidos, por exemplo, as autoridades já reportaram múltiplos incidentes em que criminosos colocaram códigos QR falsos em parquímetros, levando condutores a pagar supostas multas ou valores de estacionamento diretamente para contas fraudulentas. Em alguns casos, os utilizadores só perceberam o engano quando receberam notificações bancárias suspeitas ou quando verificaram que o pagamento não tinha sido registado pelo sistema oficial.
Este tipo de fraude é particularmente eficaz tendo em conta que não é possível “ver” o destino do link apenas olhando para o código, que os utilizadores estão habituados a confiar em códigos QR colocados em espaços públicos, que a leitura é instantânea (o que reduz a probabilidade de verificação prévia) e que qualquer pessoa pode gerar um código QR em segundos.
As recomendações para se proteger
- Verificar se o código QR parece estar colado por cima de outro
- Evitar digitalizar códigos em locais onde seria improvável existir um QR oficial
- Confirmar o URL antes de interagir com qualquer página aberta pelo código
- Preferir apps oficiais para pagamentos, em vez de links externos
- Desconfiar de códigos QR que pedem dados sensíveis ou credenciais
A regra de ouro passa assim por tratar códigos QR como links desconhecidos, porque é exatamente isso que são.
