Os códigos QR, também conhecidos como QR code, estão se tornando a ferramenta favorita dos hackers para realizar ataques de phishing. Um levantamento conduzido pela empresa americana Hoxhunt revelou que 22% dos ataques de phishing (também chamados de “quishing” quando envolvem códigos QR), nas primeiras semanas de outubro, utilizaram esses códigos para entregar conteúdo malicioso.
Contextualizando, Phishing é uma forma de ataque cibernético em que os criminosos se disfarçam de entidades confiáveis e enviam mensagens fraudulentas para induzir indivíduos a revelar informações confidenciais, como senhas, números de cartão de crédito e informações pessoais. Essas mensagens frequentemente contêm links maliciosos ou anexos que, quando clicados, podem resultar na instalação de malware nos dispositivos da vítima ou redirecioná-las para sites falsos que coletam seus dados. Os ataques de phishing podem causar danos significativos às organizações, incluindo perda de dados confidenciais, violações de segurança e danos à reputação.
Este estudo, baseado em dados de 38 organizações de nove setores em 125 países, destaca que o código QR, devido à sua praticidade e ao seu uso crescente em várias áreas, como pagamentos móveis, controle de acesso e compartilhamento de documentos, tornou-se uma ferramenta útil para cibercriminosos que visam tanto indivíduos quanto organizações.
Para enfatizar a importância do envolvimento dos funcionários na redução desse risco, a autora do estudo realizou um teste em que avaliou as reações de funcionários de diferentes setores em simulações de ataques de phishing por QR Codes, criadas por consultores de segurança cibernética.
Os resultados do desafio classificaram as respostas dos funcionários em três grupos: sucesso, erro e clique/digitalização. Apenas 36% dos colaboradores conseguiram identificar e relatar com sucesso o ataque simulado, deixando a maioria das organizações vulneráveis a ameaças de phishing. Setores como o varejo foram os mais suscetíveis, com apenas dois em cada dez funcionários conseguindo identificar e denunciar códigos QR suspeitos, enquanto empresas de serviços jurídicos e empresariais se destacaram na detecção dessas ameaças.
Eliott Tallqvist, o coordenador do estudo, observou que os códigos QR, devido à sua conveniência, escondem facilmente o risco e que, em um mundo onde nenhuma forma de comunicação digital está imune a atividades cibercriminosas, era apenas uma questão de tempo até que os códigos QR se tornassem alvo de ataques.
De acordo com os resultados do desafio, a função do trabalho também influenciou a suscetibilidade dos funcionários, com equipes de comunicação e marketing sendo 1,6 vezes mais propensas a se envolver em ataques de código QR. Em contraste, os funcionários com responsabilidades legais e jurídicas demonstraram maior vigilância.
Uma das conclusões-chave do estudo é a importância da formação e treinamento contínuo dos funcionários em cibersegurança. Isso destaca a necessidade de treinamento que inclua orientações iniciais e cursos regulares de atualização. A falta desse treinamento aumenta a suscetibilidade a ameaças de segurança cibernética, colocando em risco os dados das organizações.
Além disso, o estudo salienta ainda mais a necessidade de uma estrutura de cibersegurança resiliente na camada do usuário-final que, sem sombra de dúvida, é sempre o elo mais fraco e mais exposto na cadeia de proteção.
Portanto, a capacitação dos funcionários e a vigilância constante são essenciais para proteger as organizações contra os riscos associados aos códigos QR maliciosos.
