O comercial do Coinbase Super Bowl que apresentava um código QR saltitante com música era tão popular que fez com que o aplicativo de criptomoeda travasse temporariamente. O que isso nos diz sobre como esses códigos estão sendo usados ​​e quão seguro é digitalizar? A professora de ciência da computação da Wake Forest, Sarra Alqahtani, responde a perguntas sobre códigos QR, crimes cibernéticos e como manter suas informações pessoais seguras.
Como professor de ciência da computação estudando segurança cibernética, qual foi sua reação ao comercial da Coinbase?

Foi um comercial divertido de assistir, mas imediatamente comecei a pensar em como essa tecnologia se torna normalizada sem uma consciência equivalente sobre seus problemas de segurança. Como acontece com qualquer nova tecnologia, a segurança geralmente vem como uma reflexão tardia não apenas para os desenvolvedores, mas também para os usuários. Espero um esforço para educar as pessoas sobre as preocupações de segurança do código QR e como proteger sua privacidade.

Qual ​​é a probabilidade de que informações privadas possam ser comprometidas pela leitura de um código QR?

O código QR pode ser substituído por um código malicioso (a maneira mais simples é colar fisicamente um código em cima do outro), o que pode levar o usuário a um site falso com aparência semelhante ao site original. O hacker pode então plantar um pequeno software (malware) no telefone do usuário para rastrear e coletar seus dados.

O que os hackers fazem com as informações que roubam?

Eles podem roubar os nomes de usuário e senhas que usamos em diferentes aplicativos e sites e vendê-los na dark web. Esses dados podem ser usados ​​para adivinhar as credenciais do usuário/funcionário durante outros ataques, como o que aconteceu no ataque de ransomware Colonial Pipeline.

Existe uma maneira de saber se um código QR é seguro?

Não podemos reconhecer nenhuma diferença entre os códigos legítimos e maliciosos com nossos olhos, mas quando digitalizamos o código, devemos prestar atenção ao link do site antes de clicar nele. É por isso que é recomendável incluir o link do site com o código ao compartilhá-lo publicamente.

O que devemos procurar ao verificar um URL antes de clicar?

Se houver um risco de segurança, o URL será semelhante ao URL original, mas com pequenas alterações. Por exemplo, em vez de www.yahoo.com, o hacker pode usar yaho0.com, que é muito semelhante. Esse tipo de truque se enquadra no campo de ataques de phishing, que tem uma longa história em segurança cibernética.

Qual ​​é o seu melhor conselho para proteger informações pessoais ao usar códigos QR?

Eu recomendo não digitalizar os códigos QR o máximo possível e usar manuais e menus em papel. Aconselho também o uso das câmeras embutidas em smartphones em vez de usar aplicativos de terceiros, pois as câmeras embutidas mostram o link do site e solicitam que o usuário clique nele, o que geralmente não é o caso de aplicativos de terceiros.

Se você suspeitar que clicou em um site falso e um malware foi instalado, o que você deve fazer?

Depende do telefone que você está usando, mas em geral, você deve limpar o cache do navegador, fazer backup de seus arquivos, alterar suas credenciais. Se o seu telefone não tiver proteção integrada, você precisará usar um software de detecção de malware para detectar e remover qualquer malware.

Você tem um livro ou recurso que poderia recomendar para quem deseja saber mais sobre códigos QR?

Leia o anúncio de serviço público do FBI, "Cybercriminals adulterando QR Codes to Steal Victim Funds".