Especialistas alertam para uma nova técnica emergente que executa código malicioso assim que um código QR é lido.
Os códigos QR tornaram-se parte integrante da vida quotidiana — presentes em menus de restaurantes, bilhetes eletrónicos, pagamentos e publicidade. No entanto, surgiu uma nova técnica de ciberataque, conhecida como quishing, está a preocupar especialistas em cibersegurança pela sua eficácia silenciosa e potencial destrutivo.
De acordo com um alerta recente divulgado pela Silicon Angle, alguns criminosos estão a explorar uma vulnerabilidade que oferece a capacidade de embutir diretamente código JavaScript malicioso dentro do próprio código QR, sem necessidade de redirecionamentos ou ações adicionais por parte do utilizador. Basta apontar a câmara do smartphone — e o ataque é desencadeado.
Ao contrário de métodos anteriores, que dependiam da ingenuidade da vítima para clicar num link suspeito, esta nova abordagem utiliza URIs de dados para inserir código HTML e JavaScript diretamente no conteúdo do código QR. O navegador do telemóvel executa o script imediatamente após a leitura, sem qualquer aviso ou interação extra. Entre os possíveis efeitos do ataque estão a captura de credenciais através de páginas de login falsificadas, instalação silenciosa de keyloggers, e até exploração de falhas específicas no sistema operativo do dispositivo. Como o código não contacta servidores externos e opera localmente, torna-se extremamente difícil de detetar — escapando à maioria dos antivírus convencionais e sistemas de proteção.
Informações adicionais da empresa de segurança INKY confirmam a gravidade da ameaça, pois trata-se de um método sofisticado que permite aos atacantes ocultar completamente os seus rastos e contornar os mecanismos de proteção mais comuns. As autoridades e empresas de segurança recomendam precauções redobradas ao utilizar códigos QR, especialmente os de origem desconhecida ou que surjam em contextos pouco convencionais. Uma medida prudente passa por evitar a leitura direta com o navegador principal e utilizar aplicações de leitura com filtros de segurança.
Esta nova técnica de ataque é mais uma prova de que a engenharia social e a criatividade dos criminosos continuam a evoluir, muitas vezes mais depressa do que as defesas disponíveis. Num mundo onde a comodidade digital é cada vez mais valorizada, a vigilância e a literacia digital tornam-se armas indispensáveis para proteger dados e privacidade.
