“Quando a maioria das pessoas vê um QR Code, seu primeiro instinto é escaneá-lo, e elas geralmente não tiram muito tempo para pensar sobre o que estão fazendo. Os golpistas contam com isso”, diz Len Noe, especialista da empresa de segurança Cyberark.
Mas QR Codes físicos e digitais podem ser manipulados ou substituídos por pessoas ou malwares, programas mal-intencionados que afetam smartphones, tablets e computadores.
“QUALQUER UM PODE COLOCAR UM ADESIVO DE QR CODE MALICIOSO”
“Em geral, tenha em mente que, em um lugar público, qualquer um pode colocar um adesivo de QR Code malicioso”, adverte Noe, um hacker que identifica vulnerabilidades de forma ética (chamados de “hacker de chapéu branco”).
Um QR Code para pagamento em um estabelecimento comercial, por exemplo, pode ser sobreposto por um adesivo que leva o usuário a transferir o dinheiro para outra conta.
O especialista também lembra que qualquer pessoa pode baixar logotipos de empresas e do governo na internet ou manipular códigos físicos, de forma que não é isto que confere autenticidade a uma oferta ou boleto de pagamento.
Há ainda outras formas, mais sutis, utilizadas por golpistas. Emilio Simoni, executivo-chefe de segurança da Psafe, relata a existência de programas maliciosos que podem infectar o computador, celular ou tablet e a partir disso, substituir códigos legítimos de forma automática.
“Seu computador está infectado por um malware, e ele identifica que você está abrindo algo de pagamento, como um boleto em um email, e ele troca no seu computador aquele QR Code ou o boleto”, explica Simoni.
Neste caso, ele recomenda ter programas de proteção para o dispositivo, que impede por exemplo a atuação de programas maliciosos. “É sempre válido ter sistemas de proteção instalados, principalmente no celular, que hoje nossa vida está toda dentro dele, dados bancários, redes sociais, tudo.”
CÓDIGOS FALSOS PODEM LEVAR A SITES FALSOS
Códigos falsos podem direcionar a sites parecidos com o desejado, simulando redes sociais ou bancos online. Para detectar o golpe, é recomendado prestar atenção ao link exibido ao digitalizar o código.
“Por exemplo, caso a URL tenha sido encurtada, é um sinal de alerta, visto que com este tipo de código, não há razão convincente para encurtamento”, indica Fabio Assolini, diretor de pesquisa e análise da Kaspersky para a América Latina.
No início do ano, a empresa identificou golpes envolvendo o envio de boletos falsos, copiando a identidade visual de empresas, usando dados de clientes obtidos por meio de vazamentos e oferecendo pagamento por meio de QR Code.
“Os cibercriminosos imitam o visual das faturas ou sites das empresas reais, criam emails que simulam os oficiais e, assim como as empresas, oferecem descontos para pagamentos via QR Code. A vítima então abre seu aplicativo de banco, entra na opção Pix, escaneia o QR Code do boleto falso e confirma o pagamento”, explica Assolini.
Neste caso, a dica é conferir o nome do titular da conta destinatária do pagamento. Após escanear o código, aparecem na tela os dados do recebedor e, em caso de fraude, o titular da conta terá nome diferente da razão social da empresa.
Carlos Afonso Gonçalves da Silva, delegado divisionário da Polícia de São Paulo, recomenda conferir o DDA (Débito Direto Autorizado) dos bancos: “É aquela aba que o boleto vai via bancária direto para o cliente através do aplicativo bancário. Não tem notícia que alguém tenha conseguido fraudar esse sistema até hoje.”
VEJA DICAS DO FBI PARA SE PROTEGER
Em janeiro de 2022, o FBI (a polícia federal americana) emitiu um alerta para golpes utilizando QR Codes.
Veja as dicas do FBI para se proteger de golpes com QR Code:
confira se o endereço do site indicado pelo QR Code é o legítimo
cheque se códigos físicos foram manipulados, como com um adesivo colado por cima do código original
baixe aplicativos diretamente da loja do celular, e não através de QR Codes
se você receber um email relatando falha em um pagamento recente, ligue para a empresa para confirmar antes de pagar; utilize o número de telefone disponibilizado em canais oficiaisnão
use aplicativos nativos de escaneamento de QR Codes
ao receber um código de alguém conhecido, entre em contato através de um número ou endereço confiáveis para verificar
evite fazer pagamentos através de sites vindos do QR Code; em vez disso, insira o endereço confirmado manualmente.
O QUE FAZER SE CAIR NO GOLPE DO QR CODE?
O delegado Thiago Chinellato, da Divisão de Crimes Cibernéticos (DCCIBER) da Polícia Civil de São Paulo, recomenda o realizar o boletim de ocorrência na delegacia eletrônica.
“A partir daí vai ser distribuído nas delegacias, ou de base territorial, ou se for caso de alta complexidade, vai para a Divisão de Crimes Cibernéticos para a polícia tentar identificar quem é o fraudador”, explica.