Cuidado com os códigos QR: podem roubar-te os dados… e o dinheiro

Muitos restaurantes têm optado por esta tecnologia para mostrar a sua carta, mas isso pode expor a segurança dos clientes

12 May 2021

0 comentários
Salvar

Ir a um restaurante para comer, sentar numa mesa e tirar o telemóvel para ler o código QR que mostra a carta é uma ação que se converteu em algo habitual desde que começou a pandemia. Este inocente gesto para ver o menu pode ser, também, uma porta de entrada para os cibercriminosos. Se conseguirem sair-se com a sua, serão capazes obter informação pessoal, esvaziar a conta corrente, sequestrar senhas ou inscrever o cliente em serviços carísimos que não deseja.

Phishing, sexortion, falso suporte técnico, etc. O glossário de palavras e frases para descrever os cibercrimes não deixa de crescer. E é que a era digital tem trazido oportunidades suculentas para quem vivem do picaresco. "Temos um número de atendimento ao cidadão onde recebemos consultas de usuários que foram afetados por algum tipo de QR scan que não era legítimo", explica à Consumidor Global Ángela García, técnico de segurança cibernética para cidadãos do Instituto Nacional de Ciberseguridad (Incibe).

Como funciona um ciberataque através de um QR?

Os cibercriminosos estão sempre um passo à frente. Quando se descobre uma nova fraude e se desenham medidas preventivas, eles já têm o olho posto na seguinte contravenção. "As técnicas que utilizam em muitas ocasiões são tão complexas que nem os sistemas de segurança dos fabricantes são capazes de as detetar. No entanto, uma alta percentagem desses ataques têm um denominador comum, que é o vetor de infecção. Para que os dados sejam roubados, é necessário aceder ao sistema, seja por um computador, um telemóvel ou uma tablet", revela José Luis Sánchez, gerente de inteligência de ameaças cibernéticas da Mnemo, empresa do setor da segurança cibernética e a tecnologia.

E aí é onde entram os códigos QR, quando o cliente acede à carta de um restaurante. Se este é objeto de um ciberataque podem ocorrer várias coisas: que dirija ao utente a um site com uma URL muito parecida à do estabelecimento e ali lhe peça os dados do cartão de crédito; que o conduza a uma página na que se lhe anuncie que lhe tocou um prêmio e para o fazer efectivo há que revelar alguma informação personale inclusive que consigam entrar nas redes sociais e fazer com sua informação pessoal.

Que fazer para se proteger?

Todos os especialistas consultados por este meio concordam em algo: a melhor proteção é o bom senso. "Quando se abre um link externo, o primeiro que há que fazer é comprovar que o URL é o correcto e comprovar que à esquerda há um cadeado. Se é uma plataforma de pagamento, há que se assegurar que esta cumpra com uma série de certificações como a Data Security Standard (PCI) e a autorização do Banco de Espanha", acrescenta Jordi Nebot, CEO e fundador de PaynoPain, empresa especializada no pagamento on-line.

Um telemóvel funciona da mesma forma que um computador, só que tem um tamanho mais reduzido, e por isso muitas pessoas não pensam na sua segurança como o fazem com os computadores. "É mais que aconselhável instalar um antivírus que nos poupe algum susto. Se tivéssemos instalado um no nosso dispositivo, este poderia detetar arquivos maliciosos", assegura Sánchez. Na verdade, há antivírus para o telefone que analisam, quando se abre um link, se o mesmo tem intenções maliciosas.

Há agora mais ciberataques?

Os delitos digitaus, antes da pandemia, já eram uma prática habitual, se pode dizer que vêm de mãos dadas com a era digital. Mas é agora, com a aplicação em massa do código QR, quando se tomou consciência da vulnerabilidade dos utilizadores. No Incibe dispõem de um número de telefone dos afectados (017) por este tipo de roubos. Ainda que a Confederação Empresarial de Hotelaria de Espanha assegura não estar preocupada, já que não nenhum alarme foi dado por parte dos hoteleiros que indique que o número de crimes cibernéticos em restaurantes e bares tenha aumentado.

No entanto, quem costuma denunciar estes casos não são os hoteleiros, mas sim os clientes que foram vítimas da fraude. "Se chegas a um restaurante e a carta é por QR, não vamos desconfiar que se trata de lugares privados e quiçá é onde o tenham mais controlados. Num shopping ou num lugar público, ao ter menos vigilância há que tomar certas orientações ou precauções para não sofrer uma fraude", explica García. Pelo contrário, "realmente ainda há incidentes de cibersegurança como antes, mas é verdade que a pandemia tem feito que estes incidentes sejam mais visíveis ou que tenham um maior impacto", indica Sánchez.

Una persona delante del ordenador portátil / FREEPIK — Uma pessoa adiante de um computador portátil / FREEPIK

Pagar com o telemóvel

No mundo digital nada é 100% seguro. Por isso, as instituições financeiras cada vez apostam mais por fortalecer as suas defesas. "É altamente recomendável ativar o duplo factor de autenticação tanto nas aplicações de banca on-line como nas que usamos no nosso dia a dia com mais frequência", explica Sánchez. Existem aplicações de pagamento como PayPal ou Google Pay que dispõem de sistemas próprios de antifraude , mas "não esqueçamos que se, por algum motivo, se detecta alguma vulnerabilidade nestes aplicativos onde se permita ver o número de cartão, CVV ou data de validade, existirá a possibilidade de que essa informação seja roubada", acrescenta o especialista em cibersegurança da Mnemo.

Bizum é uma forma de pagamento relativamente nova, mas muito difundida, que se usa para fazer transações rápidas e de pequenas quantidades. Até agora não se pôs em dúvida a sua segurança mas, como indica a especialista da Incibe, há que ter cuidado com a engenharia social, isto é, com o picaresco: "Às vezes tentam manipular-nos em algumas lojas on-line de vendedores. Existem casos em que um falso vendedor pede um rendimento por esta plataforma, o comprador não o conhece bem e realiza um rendimento sem receber nada em troca", alerta García.

Você leu este conteúdo de consumidor global preparado por nossa equipe de redatores e especialistas. Se você deseja acessar livremente todo o conteúdo que produzimos, recomendamos se inscrever. Além disso, você pode receber aconselhamento jurídico gratuito por fazer parte da nossa comunidade.