Códigos QR estão sendo usados em golpes para roubar dinheiro de pessoas
9 de Maio de 2023

As QR codes continuam sendo amplamente utilizados por organizações legítimas - desde anúncios do Super Bowl até a cobrança de taxas e multas de estacionamento - golpistas surgiram para abusar da tecnologia em benefício próprio.

Uma mulher em Cingapura teria perdido US$ 20.000 após usar um QR code para preencher uma "pesquisa" em uma loja de chá com bolhas, enquanto casos de notificações falsas de estacionamento com QR codes visando motoristas têm sido observados nos EUA e no Reino Unido.

A mulher de Cingapura, de 60 anos, que não foi identificada, viu um adesivo na porta de vidro da loja de chá incentivando os visitantes a digitalizar um QR code e preencher uma pesquisa para ganhar uma "xícara grátis de chá com leite".

Para uma pessoa comum e até mesmo tecnicamente bem informada, isso sozinho pode não levantar bandeiras vermelhas, considerando que programas de fidelidade e recompensas frequentemente promovem tais ofertas e usam QR codes para fazê-lo.

"Atraída pelo que parecia ser um bom negócio, a mulher de 60 anos digitalizou o QR code no adesivo e baixou um aplicativo de terceiros em seu telefone Android para completar a 'pesquisa'", relata o Straits Times.

Na hora de dormir, seu telefone acendeu repentinamente.

O aplicativo de "pesquisa" fraudulento que ela havia baixado sugou US$ 20.000 de sua conta bancária.
Mr.

Beaver Chua, chefe de antifraude no departamento de conformidade de crimes financeiros do grupo OCBC Bank, que transmitiu a notícia da vítima à mídia local, chama o golpe de particularmente "insidioso".

"Este golpe é tão insidioso porque os golpistas assumem o controle do telefone da vítima.

E como as vítimas perdem o controle de sua conta bancária na Internet, elas nem saberão quando suas economias foram completamente eliminadas", diz Chua.

De nota é o fato de que o aplicativo de malware específico baixado pela vítima pede ao usuário que conceda acesso ao microfone e à câmera do telefone, além do Serviço de Acessibilidade do Android, uma funcionalidade do Android para ajudar usuários com necessidades especiais, que também permite que um aplicativo controle a tela do telefone.

O golpista, então, monitora passivamente o uso do aplicativo de banco móvel da vítima e anota quaisquer credenciais de login inseridas pelo usuário durante o dia.

Todas as permissões acima mencionadas, quando adquiridas, tornam fácil para os atores de ameaças espionarem suas vítimas e esperarem pelo momento certo - como na hora de dormir, quando podem realizar suas atividades maliciosas sem serem notados.

"Embora os golpes de malware não sejam particularmente novos, os golpistas estão ficando cada vez mais inovadores", diz Chua.

"Além dos banners pop-up do site, que são mais comuns, colar QR codes falsos nas empresas F&B é outra maneira astuta de enganar as vítimas, já que os consumidores podem não ser capazes de diferenciar entre QR codes legítimos e maliciosos."

No ano passado, a Polícia de Cingapura alertou os cidadãos sobre bandidos que abusam do sistema de identidade digital Singpass que usa QR codes.

Os fraudadores pediam às vítimas que completassem pesquisas falsas e, em seguida, digitalizassem um QR code Singpass pelo aplicativo oficial Singpass, como parte do "processo de verificação" antes que as vítimas pudessem resgatar recompensas monetárias.

"Entretanto, o QR code Singpass fornecido pelos golpistas era uma captura de tela tirada de um site legítimo, e ao digitalizar o QR code e autorizar a transação sem mais verificações, as vítimas inadvertidamente deram aos perpetradores acesso a certos serviços online", afirma o aviso da polícia.

Enquanto isso, casos de golpistas deixando bilhetes falsos de estacionamento nos pára-brisas dos motoristas têm sido observados nos EUA e no Reino Unido.

Na semana passada, um usuário do Reddit viu um bilhete falso de estacionamento afirmando ter sido emitido pelo governo da cidade de São Francisco.

Quando em dúvida, os clientes devem verificar uma notificação de estacionamento ou correspondência legal nos sites oficiais dos órgãos governamentais.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...