QRCode – mais uma brecha para ataques

Alguns anos atrás eu descrevi “um código de barras bidimensional” muito popular no Japão e que estava chegando com todo o folego aqui pelas terrinhas tupiniquim. Tratava-se do QrCode (Quick Response Code) um código de acesso rápido que permite “linkar” o mundo físico com o virtual. A questão é que um código destes não pode ser interpretado pelo olho humano e o seu celular, ou tablet, só conhecerá o perigo de capturar este código – caso descubra – quando já for tarde demais.

Hoje este código está tão popularizado que é difícil andar pelo centro da cidade, ou pelos shoppings sem avistar ao menos um cartaz ou outdoor com um destes junto aos logos do Facebook e do Twitter. Esta “etiqueta” pode ser usada por exemplo em acervos de museus, arboretos, herbários, lojas etc permitindo que o visitante ao se deparar com uma obra, ou objeto qualquer de seu interesse possa obter mais informações apenas digitalizando a imagem com o seu celular ou tablet.

A ideia por trás do Qrcode é tão genial que mereceu o reconhecimento e registro como padrão ISO 18004:2006 porém isso não assegura que o seu uso será feito sempre com as melhores das intenções.  Exemplo!? Olhe bem para o Qrcode que ilustra este texto. Imagine que ele estivesse em um banner bem no meio da rua junto ao nome de uma operadora de telefonia qualquer, com uma frase de efeito sugerindo um concurso para ganhar um ipad ou qualquer outro item que o valha.

Ao se deparar com o cenário descrito acima a primeira coisa que o indivíduo deduzirá é que seria levado para o site de uma campanha publicitária onde deveria informar alguns dados e então estaria participando do concurso. Mas esta dedução pode não ser a verdade por trás daquele estranho código. Ele pode ser um link que remete a um falso cadastro para obter seus dados para envio de spams, pode ser um link para instalação de um backdoor em seu dispositivo móvel (celular, tablet etc) ou inúmeras outras coisas que somente a maquiavélica mente humana poderia inventar com o único fim de obter qualquer lucro as custas da inocência de outros.

O triste é que talvez você só descubra a furada que se meteu após já ter fornecido seus dados ou até mesmo após ter instalado alguma coisa perigosa no seu equipamento. Não é porque um código está associado a uma empresa ou marca famosa que o ele realmente pertence aquela empresa. Contra este tipo de ataque não há proteção melhor do que o bom senso humano (coisa rara hoje em dia).

O que se pode aconselhar aqui é o que se aconselha desde os antigos tempos em que a Internet era movida à vapor e o phishing chegava apenas por e-mail.

  • Não confie em estranhos
  • Não acredite em tudo o que se lê
  • Ninguém quer te dar nada de graça
  • Ninguém está te processando
  • Seu CPF não está no SERASA
  • Aqueles arquivos não são as fotos do flagrante  do seu conjugue te traindo
  • A Microsoft não dará 1 centavo para ajudar uma criança com cancêr para cada clique no link
  • Não instale aplicativos de procedência desconhecida
  • Antes de entrar em um link observe se ele realmente pertence a empresa que diz ser

Basicamente é isso. Mas como eu disse o seu bom senso é a sua melhor proteção.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.