De acordo com a empresa de cibersegurança ESET, os cibercriminosos estão usando o QR Code do WhatsApp para praticar golpes e hackear sua conta no aplicativo. O Laboratório de Pesquisa da companhia, localizado na América Latina, analisou os casos em que os invasores sequestram uma conta no app, tendo acesso a todos os contatos, arquivos e conversas da conta da vítima. A conclusão foi de que há um novo tipo de ataque em alta: o QRLjacking.

Esse tipo de ameaça consiste em tirar proveito de técnicas de engenharia social para atacar aplicativos que usam o QR Code como um método de registro – como é o caso do próprio WhatsApp, que oferece aos usuários a possibilidade de usar o mensageiro no computador sem qualquer validação adicional. Cientes disso, os cibercriminosos desenvolveram ferramentas que capturam e armazenam a imagem do código QR gerada pelo WhatsApp e criam um novo código falso, do mesmo tipo, para mostrar à vítima.

Reprodução

Ao cair na página mal-intencionada, o usuário tem a sua sessão sequestrada. Ela fica armazenada no computador do criminoso e ele pode usá-la como quiser, sem causar qualquer tipo de interrupção no uso do aplicativo no telefone da vítima. “Enquanto analisamos a ameaça que ocorre neste caso, é importante destacar que todos os aplicativos que usam códigos QR podem sofrer ataques semelhantes”, afirma Daniel Barbosa, especialista em segurança da informação da ESET na América Latina.

publicidade

“É possível aumentar o nível de controle para que o código QR possa ser usado com mais segurança. Há também a necessidade de conscientização por parte dos fabricantes para que os dados dos usuários sejam cada vez mais protegidos e que os aplicativos tenham mais recursos voltados para a segurança de todos”, conclui Barbosa.

O Laboratório de Pesquisa ESET dá dicas de segurança para evitar esse ataque. Confira:

  • Conheça os aplicativos que utiliza: no caso do WhatsApp, o QR Code serve exclusivamente para permitir que o aplicativo seja usado no computador. Suspeite se algum anúncio pedir para digitalizar o QR Code em troca de algum benefício ou como parte de um processo além da validação;
  • Use o mínimo necessário de redes públicas ou não confiáveis: este e outros tipos de ataques ocorrem quando o cibercriminoso está na mesma rede que suas vítimas. Caso você use redes públicas, evite acessar informações que não são extremamente necessárias para você naquele momento;
  • Esteja sempre atento: manter a atenção, mesmo em redes consideradas seguras, é uma prática recomendada, que ajuda a evitar diferentes tipos de incidentes de segurança;
  • Observe se o app respondeu ao seu comando: no caso de escanear um código e não receber nenhuma ação em resposta, provavelmente o usuário sofreu um ataque. Em caso de dúvida, na tela principal do WhatsApp, selecione a opção “WhatsApp Web” e feche todas as sessões que foram iniciadas. Isso acaba com o acesso dos criminosos à sua conta;
  • Mantenha todos os programas de segurança ativados: configure-os para bloquear ameaças, tanto no smartphone quanto no computador;
  • Atualize constantemente todos os programas e aplicativos usados: as atualizações trazem novos recursos e corrigem quaisquer problemas de segurança que os programas possam ter.

Fonte: CryptoID