Já foi vítima de clickjacking?
Nesta era de segurança de alta tecnologia, poderá pensar que é improvável que isto lhe aconteça a si ou à sua marca. Contudo, é um risco que todos nós enfrentamos todos os dias. Sempre que digitalizamos um QR Code (e na era de Covid, quem não o fez?), somos susceptíveis de ser clicados.
A pandemia normalizou o scanning
A pandemia global desencadeou muitas mudanças na nossa vida quotidiana. Trabalhar a partir de casa, reuniões intermináveis do Zoom, máscaras nos transportes públicos… até à digitalização daqueles Códigos QR aparentemente inócuos antes de entrar em empresas, restaurantes, bares – e agora, até nos locais de trabalho.
Todas estas pequenas alterações, incluindo a digitalização de QR Codes, tornaram-se o nosso novo normal, e com ‘normal’ vem a familiaridade, a complacência e até a confiança.
Compreender as limitações e riscos dos Códigos QR
Fazemos a sua digitalização várias vezes por dia – geralmente sem pensar um segundo. Em 2021 parece que os Códigos QR, ou “Códigos de Resposta Rápida”, estão em todo o lado e em tudo.
Os Códigos QR foram concebidos para a automatização em ambientes seguros. São perfeitos para ligações rápidas a um website e um pouco de diversão interactiva, particularmente em ambientes onde a confiança e a segurança não são requisitos chave.
Efectivamente apenas um grande código de barras, os Códigos QR são utilizados para codificar URLs e dados no meio de uma série de outras experiências ou conteúdos – que quando utilizados para fins legais são altamente eficazes.
No entanto, surgem problemas quando os QR Codes são utilizados por maus actores. Os riscos dos QR Codes são mal compreendidos pelas empresas, decisores políticos e consumidores.
A razão é que a tecnologia do QR Code utiliza um modelo publicado e de código aberto – o que significa que está livremente disponível para qualquer pessoa, e não apenas para indivíduos autorizados. Também significa que qualquer pessoa pode emitir Códigos QR semelhantes em nome do seu negócio, não apenas você – o que é um choque para muitas organizações.
Tudo isto faz dos QR Codes um sonho de hacker! Para falsificadores e cibercriminosos, os Códigos QR são um presente – tal como o baixo nível de percepção de risco na comunidade.
Embora os códigos QR tenham o seu lugar e não vão a lado nenhum em breve, é fundamental considerar muito cuidadosamente as circunstâncias em que são aplicados.
Quão fácil é para os maus actores criar Códigos de QR nefastos?
Chocantemente fácil e rápido. Os geradores de QR Code tais como QRCode Monkey ou MeQR são na sua maioria gratuitos e fáceis de encontrar com uma pesquisa simples no Google.
Em minutos, qualquer pessoa pode gerar um Código QR, apontá-lo para qualquer website – legítimo ou não – e começar a substituí-lo por sinais genuínos de check-in Covid, embalagem de produtos, inscrições em concursos ou mesmo documentos oficiais.
É realmente tão simples como isso dirigir um consumidor insuspeito para um website fraudulento que poderia estar a fazer-se passar por uma agência governamental, marca ou promoção, com o objectivo de roubar informação pessoal, instalar malware ou simplesmente passar um falso para um produto genuíno.
Muitas vezes, o consumidor (e a marca) a ser clickjacked não é o mais sábio… até ser demasiado tarde.
Porque é que ninguém fala sobre isto?!
São, e são alguns dos nomes mais respeitados na ciber-segurança, indústria e governo – mas será que estamos a ouvir? Infelizmente, para a maioria das pessoas e organizações, não atingirá as suas casas até que isso lhes aconteça.
Há cada vez mais comentários globais de aviso dos riscos de segurança e consequências para os consumidores, marcas e decisores políticos em torno da facilidade com que os QR Codes podem ser clickjacked.
Entre o crescente coro global de avisos estão os meios de comunicação social respeitados, o Exército dos Estados Unidos, especialistas em tecnologia global, e clientes da Laava.
- Patrick Martin, da ABC News, relatou que um homem sul australiano foi preso após ter alegadamente colocado falsos Códigos QR sobre os códigos oficiais de check-in da Covid em Adelaide. Isto realça a facilidade com que qualquer pessoa pode gerar falsos QR Codes e substituí-los pelo verdadeiro, e isto está a acontecer aqui mesmo na Austrália.
- Ronna Weyland, que reporta para o Exército dos Estados Unidos, destaca o aumento de esquemas de código QR.
“A Unidade de Crimes Cibernéticos Maior avisa que um esquema básico pode ser perpetrado através da impressão de códigos QR maliciosos nos rótulos e da colagem dos rótulos em várias superfícies acessíveis ao público. O transeunte curioso digitaliza o código e é dirigido a um website malicioso, permitindo que o código malicioso seja descarregado para o seu computador ou telefone inteligente”.
Ronna Weyland, Exército dos EUA
- Brian Foster, um Insider da InfoSec para o Posto de Ameaça, lançou um artigo em 2020 intitulado“Códigos QR”: A Sneaky Security Threat“. O Sr. Foster escreveu:
“Como tantas coisas, não damos muita importância aos códigos QR. Este é exactamente o tipo de confiança implícita e de acção impensada em que os hackers prosperam. Para um utilizador médio, estes códigos parecem todos iguais, mas um código QR malicioso pode direccionar um utilizador para um site falso. Pode também capturar dados pessoais ou instalar software malicioso num smartphone”.
Brian Foster, ThreatPost
- O exportador australiano de fruta premium Reid Fruits, foi vítima da facilidade com que qualquer pessoa pode criar um Código QR malicioso. Foi um caso bem documentado de contrafacção que foi partilhado pela Austrade:
“A tecnologia baseada em QR foi especialmente preocupante para Reid Fruits, uma vez que os falsificadores simplesmente criaram os seus próprios códigos QR que se ligavam a um site de autenticação falsa (uma técnica conhecida como ‘spoofing’ ou ‘clickjacking’)”.
Austrade
Sabemos que situações de contrafacção como esta não só causam perda de receitas como também apresentam riscos significativos para a reputação da marca. Tony Coad, Director, Marketing e Vendas, Reid Fruits foi citado como dizendo:
“Se o produto falsificado for de qualidade inferior – e normalmente é – isso pode ter um impacto prejudicial a longo prazo na nossa marca”.
Então o que é que um Código de QR malicioso pode realmente fazer? Ficará surpreendido
Surpreendido?
Está a acontecer com mais frequência do que imaginamos. Neste excelente blogue o nosso parceiro Matthews Australasia, esboça o que precisa de saber sobre o impacto e o custo dos esquemas de QR e soluções alternativas.
Escolher a ferramenta certa para o trabalho
Quando a confiança e a segurança são críticas, é necessário utilizar tecnologia de última geração – é necessário Laava Smart Fingerprints®. São a marca de confiança segura que é única para cada item individual, e podem fazer 3 coisas chave num marcador simples, rentável e fácil de produzir:
- Autenticar produtos, documentos e mesmo NFTs. Saiba mais sobre o nosso parceiro Vinsent no nosso post de blog“Laava e Vinsent garantem futuros vinhos com certificação NFT“.
- Verificar digitalmente as alegações do produto e estabelecer uma ligação com a informação de rastreabilidade, para fornecer provas de alegações como “sustentável” e “orgânico” até à “liberdade da escravatura moderna” – ou mesmo apenas “fresco”, “transportado pelo ar” ou “Fabricado no País X”.
- Ligue-se e envolva-se com os consumidores em segurança – para contar histórias digitais, promoções, concursos e programas de recompensas.
A actualização a partir do Código QR
As Laava’s Smart Fingerprints® são seguras pelo design e previnem esquemas baseados em QR, incluindo clickjacking. Como?
- Smart Fingerprints não contêm dados codificados ou URLs que possam ser pirateados ou replicados – cada um deles é uma imagem aleatória única e segura.
- Cada impressão digital Smart Fingerprint é completamente única e emitida com segurança pela plataforma Laava. Cada produto, documento, experiência ou NFT tem a sua própria impressão digital inteligente, que foi autorizada pelo proprietário da marca ou agência.
- Cada impressão digital inteligente é digitalizada, comparada e autenticada de acordo com regras comerciais pré-definidas, comparando opticamente a imagem com as da base de dados Laava. Tudo isto ocorre antes de quaisquer dados serem mostrados ao consumidor.
Todas estas coisas contribuem para uma solução que pensamos ser a “Last Mile Trusted” – a marca de confiança segura no produto que o mundo tem procurado.
Para mais informações sobre as diferenças entre Laava Smart Fingerprints® e QR Codes, ver a nossa útil tabela de comparação, Laava Smart Fingerprints® vs QR Codes.
“Laava Smart Fingerprints® são concebidos com duas coisas em mente: permitir melhores experiências, confiança e transparência para os consumidores, e garantir segurança e protecção para as marcas”, diz o CEO Conjunto da Laava, Gavin Ger.
Rápido, fácil, rentável e globalmente escalável
A melhor parte é que as marcas, parceiros e plataformas podem começar muito facilmente com Laava, e podem escalar até à produção completa de forma extremamente rentável.
A Laava Smart Fingerprints® pode mesmo ser totalmente etiquetada de branco, de modo que as plataformas de rastreabilidade, os parceiros de cadeia de bloqueio e as plataformas NFT podem todas emitir Laava Smart Fingerprints® de marca e até redireccioná-las onde for necessário.
Quer saber mais? Há uma solução para cada situação. Entre em contacto hoje mesmo.
“Um melhor software de reconhecimento de imagem irá provavelmente tornar o QR obsoleto dentro de uma década”.
Masahiro Hara – O inventor do código QR (2014)
Outras referências mediáticas sobre os riscos dos Códigos QR
Há tantas histórias de códigos QR falsos que levam a que os consumidores sejam enganados – alguns mais preocupantes do que outros.
- ABC News: O código QR transformou os check-ins COVID-19 numa oportunidade de ouro para empresas de marketing e de dados
- A Idade: Os códigos QR de Victoria mal feitos, dizem os criadores
- Brisbane Times: O bom, o mau e o feio do nosso mundo hiperligado
- Exército dos EUA: Cuidados com o CID do Exército Crescem em esquemas de Código QR
- Cyberscoop: O exército adverte sobre esquemas de código QR em meio a uma pandemia
- Vigilância dos Direitos Digitais: Códigos QR, privacidade e segurança
- O negócio da Fox: Códigos QR do menu do restaurante e os riscos para a sua privacidade
Para ver mais, siga Laava no LinkedIn, Instagram, Twitter, Facebook e o nosso blog.
