Um caso reportado recentemente pela BBC junto a um estádio de futebol inglês é a ponta do icebergue nas fraudes com códigos QR. Ao colarem imagens falsas sobre os códigos originais, os criminosos esperam conseguir acesso à sua conta bancária.

O quishing baseia-se na adulteração de um código QR, uma espécie de código de barras que habitualmente está ligado a um site e que pode ser utilizado em cartazes, promoções de merchandising ou para ações informativas de uma marca ou serviço.

Em Inglaterra, foram colados códigos falsos numa zona de estacionamento situada nas imediações de um estádio, enganando vários adeptos. Ao digitalizarem o código para pagar o parque, os condutores foram redirecionados para um site fraudulento, onde inseriram os seus dados bancários, convencidos de que estavam a fazer um pagamento autêntico.

Uma partida de futebol é um acontecimento especial na vida de um adepto. A tensão pré-jogo, o colorido e o entusiasmo do ambiente são uma distração que condiciona a forma como se percebe o risco. Por outro lado, a vontade de entrar no estádio aperta – e usar um código QR tornou-se um gesto rotineiro, sobretudo porque se baseia no mesmo princípio dos pagamentos por MB Way.

Quishing: um problema que tende a agravar-se

O sucedido em Telford repetiu-se em vários outros parques de estacionamento do Reino Unido, obrigando a polícia a fazer avisos públicos sobre este novo tipo de fraude. Existem casos reportados noutros pontos da Europa, como em França e na Alemanha, e Portugal pode estar prestes a seguir o mesmo caminho: o ACP também já avisou sobre potenciais problemas em parquímetros e pontos de carregamento.

Além do engodo criado pela necessidade de pagar o parqueamento, os adeptos também podem ser levados a digitalizar o código QR para receber um prémio da sua equipa, como bilhetes ou ofertas promocionais.  Se a ligação for fraudulenta, há duas coisas que podem acontecer:

  1. O utilizador é levado a inserir os seus dados pessoais ou financeiros, convencido de que está a participar num passatempo ou a comprar bilhetes oficiais; ou
  2. O telemóvel faz automaticamente a transferência de malware, software malicioso que rouba informações sensíveis ou compromete a segurança do dispositivo.

Na maior parte dos casos conhecidos, os adeptos deixaram-se iludir por supostas promoções limitadas de camisolas oficiais ou bilhetes com desconto, além das já referidas fraudes dos parques de estacionamento.

Como proteger-se destes ataques

Seja ou não um adepto de futebol, pode facilmente cair no golpe do quishing, até porque os códigos QR são um disfarce perfeito: só podemos ver para onde somos redirecionados depois de fazer a digitalização. Mas há medidas simples que podem diminuir bastante o risco, como usar uma VPN com scanner de malware.

Para quem não está familiarizado, VPN significa “rede privada virtual”, uma tecnologia que protege a navegação online ao encriptar as ligações à internet e ocultar os endereços IP. Além desta ferramenta, deverá:

  • Verificar a origem da imagem: desconfie de códigos QR colados em postes, paredes ou até sobre cartazes oficiais. Um autocolante pode facilmente esconder o código verdadeiro.
  • Conferir a ligação: após a leitura, confirme se o endereço corresponde ao do site oficial do clube ou do patrocinador. Se o URL lhe parecer estranho ou tiver erros ortográficos, recue.
  • Usar proteção adicional: as ferramentas digitais podem ser decisivas para evitar surpresas desagradáveis.

A paixão pelo futebol pode levar os adeptos a tomar decisões impulsivas, e os cibercriminosos sabem disso. Os problemas não afetam apenas os clubes mais pequenos, com gigantes como o Estudiantes de La Plata, da Argentina, a denunciarem recentemente a existência de um portal de sócios falso. A prevenção e a tecnologia são o melhor remédio num mundo digital com riscos que nem sempre conseguimos ver.