O gesto tornou-se tão natural que já nem pensamos nele. Sentas-te na esplanada de um restaurante, tiras o telemóvel do bolso, abres a câmara e apontas para o pequeno quadrado preto e branco colado na mesa. Num par de segundos, o menu aparece no teu ecrã. Esta conveniência extrema, no entanto, está a ser transformada numa arma silenciosa. A Guarda Nacional Republicana (GNR) emitiu recentemente um alerta para uma nova vaga de burlas em Portugal que explora exatamente esta nossa confiança cega: o “quishing”.
Para compreenderes a dimensão desta ameaça, é útil recuar um pouco no tempo. O código QR (Quick Response) não é uma tecnologia nova. Foi inventado em 1994 pela empresa japonesa Denso Wave com um propósito muito específico: rastrear componentes automóveis durante o processo de fabrico. Ao contrário dos códigos de barras tradicionais, que apenas armazenam informação numa linha horizontal, o código QR guarda dados em duas dimensões (horizontal e vertical). Isto permite-lhe conter uma quantidade substancial de informação, como um endereço web completo.
A pandemia catapultou esta tecnologia para o nosso dia a dia, substituindo ementas físicas, bilhetes de papel e terminais de pagamento. O grande problema técnico é que um código QR é essencialmente “cego” e passivo; não possui qualquer camada de segurança nativa ou encriptação que valide o destino para onde te está a enviar.
O que é o quishing e como funciona a armadilha
O termo “quishing” nasce da fusão entre “QR” e “phishing” (a clássica técnica de engenharia social usada em emails falsos para pescar os teus dados). Contudo, enquanto um email fraudulento muitas vezes vai parar à pasta de spam ou apresenta erros ortográficos evidentes, um código QR malicioso é visualmente indistinguível de um legítimo.
O ataque começa, na maioria das vezes, de forma surpreendentemente analógica. Os criminosos geram um código que aponta para um servidor controlado por eles. Depois, imprimem esse código num autocolante de alta qualidade e colam-no fisicamente por cima de um código verdadeiro num espaço público. Imagina um parquímetro municipal. Estacionas o carro, vês o sinal para pagar comodamente através do telemóvel e fazes a leitura.
O impacto prático no teu dia a dia
Quando a tua câmara processa esse autocolante adulterado, o teu ecrã é imediatamente redirecionado para uma página web que imita na perfeição o portal oficial da empresa de estacionamento. Sem desconfiares, introduzes os dados do teu cartão de crédito para pagar uma tarifa de dois euros. Na realidade, acabaste de entregar o acesso direto à tua conta bancária a um burlão.
Além dos pagamentos falsos, o perigo estende-se à infeção do próprio equipamento. Alguns destes links estão programados para forçar o descarregamento de software malicioso. Uma vez instalado, este malware opera de forma invisível no processador do teu smartphone, sendo capaz de intercetar palavras-passe, ler as tuas mensagens (incluindo os códigos de autenticação de dois fatores enviados pelo banco) e monitorizar a tua atividade. Um simples momento de distração fica a custar-te a tua identidade digital e as tuas poupanças.
Como proteger o teu telemóvel e a tua carteira
O sucesso desta burla não depende de falhas complexas no sistema operativo do teu equipamento, mas sim do comportamento de cada utilizador. Fomos condicionados a associar estes quadrados a rapidez e utilidade, baixando as nossas defesas. Para navegares neste cenário sem comprometeres a tua segurança, deves adotar uma postura mais cética.
Antes de fazeres a leitura de qualquer código num espaço público, aplica estas regras básicas:
- Inspeciona fisicamente a superfície: Passa o dedo sobre o código para verificar se existe um autocolante sobreposto ao material original do cartaz ou da máquina.
- Analisa a pré-visualização do link: Hoje em dia, qualquer câmara de smartphone mostra o endereço web antes de o abrir; lê o URL com atenção e procura por erros de ortografia ou domínios que não correspondam à marca oficial.
- Avalia o contexto: Se encontrares um código isolado num poste de eletricidade a prometer prémios avultados ou acesso a Wi-Fi gratuito, a probabilidade de ser uma armadilha é enorme.
- Privilegia as aplicações oficiais: Para pagamentos de mobilidade, como trotinetes ou parquímetros, abre diretamente a aplicação do serviço que já tens instalada, em vez de leres códigos genéricos afixados na rua.
A tecnologia foi desenhada para facilitar a nossa rotina, mas a conveniência nunca deve sobrepor-se à proteção dos teus dados pessoais. Um segundo extra de atenção é tudo o que precisas para evitar uma enorme dor de cabeça.
Outros artigos interessantes:
