Kaspersky identifica técnica que recria QR Codes usando apenas letras e símbolos de teclado, burlando proteções tradicionais
A Kaspersky identificou uma nova tática em que os cibercriminosos não usam imagens de QR Code, como um arquivo JPG ou PNG convencional, mas sim símbolos, blocos e caracteres de texto digitados juntos para desenhar o código na tela.
O resultado prático é o mesmo, pois quando o usuário aponta a câmera do celular, o aparelho consegue ler o link malicioso normalmente. A grande diferença é que, para os sistemas de segurança tradicionais, aquele código parece apenas um amontoado de texto comum e sem sentido, permitindo que o golpe passe direto pelos filtros de spam e chegue à caixa de e-mails da vítima. Veja mais detalhes do golpe e como se proteger.
Golpes com QR Code não são novidade no Brasil. No fim de 2021, a Kaspersky detectou e bloqueou uma campanha ampla desse tipo no país. Na época, a fraude envolvia falsas faturas de serviços de telecomunicações e internet, que ofereciam 5% de desconto caso o cliente pagasse por meio de um QR Code.
Três anos depois, em 2024, a tática evoluiu com o uso do Reboleto, uma ferramenta que permitia aos criminosos alterar QR Codes e códigos de barras em boletos legítimos diretamente na caixa de entrada de e-mail das vítimas.
Essa nova técnica cria códigos usando apenas caracteres de texto, o que ajuda os criminosos a burlar os filtros de segurança de e-mails corporativos. Para entender o truque por trás desse golpe, é preciso voltar aos primórdios da informática.
Em 1963, quando os computadores ainda não conseguiam exibir imagens como conhecemos hoje, desenhos eram criados usando letras, números e símbolos do teclado. Essa técnica ficou conhecida como ASCII (American Standard Code for Information Interchange), um padrão criado para representar caracteres em computadores.
Embora atualmente existam sistemas mais avançados, como o Unicode, o termo “gráficos ASCII” continua sendo usado para descrever imagens formadas por texto. A técnica não é nova: nos anos 2000, disparadores de spam já recorriam a esse recurso para tentar driblar filtros de e-mail e ocultar conteúdos maliciosos.
Os cibercriminosos ressuscitaram essa técnica e agora enviam textos programados para se alinharem perfeitamente no corpo do e-mail, formando o desenho do código de barras bidimensional. No golpe padrão, a vítima recebe uma mensagem falsa que finge ser de um parceiro de negócios ou de uma plataforma conhecida, como o DocuSign, alegando que há um documento confidencial urgente para assinatura. A mensagem instrui o destinatário a escanear o código na tela para acessar o arquivo, levando-o a um site falso que imita a página de login da empresa para roubar suas credenciais corporativas.
“Cibercriminosos fazem de tudo para esconder links maliciosos, as vezes dentro de imagens ou arquivos não suspeitos. Agora, eles usam texto puro para desenhar a imagem do QR Code e evitar que as tecnologias de segurança baseadas em imagem façam o bloqueio. Qualquer situação em que um QR Code peça para o usuário inserir credenciais corporativas em um dispositivo móvel deve levantar suspeita imediata. Quando esse código é formado por arte textual, há uma grande chance de ser uma tentativa de phishing ou uma isca para um endereço malicioso, criada com o único propósito de burlar as tecnologias de proteção“, explica Fabio Assolini, Lead Security Researcher da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Para se defender contra essa ameaça e garantir que os dados da sua empresa fiquem seguros, a Kaspersky recomenda as seguintes medidas:
- Invista em proteção avançada contra ameaças por e-mail: Esta é a defesa mais importante. Utilize soluções de segurança robustas para servidores de e-mail, como o Kaspersky Security for Mail Server. Ela vai além do escaneamento tradicional de imagens e consegue analisar o contexto das mensagens, bloqueando spams, golpes de phishing e QR Codes disfarçados de texto antes mesmo que eles cheguem à caixa de entrada do usuário.
- Crie o hábito de checar a URL antes de digitar dados: Ao escanear um QR Code corporativo que leve a uma página de login, o usuário deve sempre verificar o endereço (URL) do site no navegador do celular antes de inserir qualquer senha ou credencial. Se o endereço parecer estranho ou diferente do site oficial da empresa, o acesso deve ser interrompido imediatamente.
- Capacite a sua equipe com treinamentos de conscientização: Promova treinamentos contínuos e simulações de phishing para que os colaboradores saibam identificar mensagens suspeitas, formatos incomuns de e-mail e técnicas de engenharia social. Soluções como o Kaspersky Automated Security Awareness Platform (ASAP) ajudam a desenvolver essas habilidades na prática, reduzindo o risco de que funcionários caiam em golpes cada vez mais sofisticados.
Sobre a Kaspersky
A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. Com mais de um bilhão de dispositivos protegidos até o momento contra ciberameaças emergentes e ataques direcionados, a profunda expertise em inteligência e segurança de ameaças da Kaspersky são constantemente transformadas em soluções e serviços inovadores para proteger pessoas, empresas, infraestruturas críticas e governos ao redor do mundo. O portfólio completo de segurança da empresa inclui a proteção líder para dispositivos pessoais, produtos e serviços de segurança especializados para empresas, assim como soluções de ciberimunidade para combater ameaças digitais sofisticadas e em evolução. Ajudamos milhões de pessoas e cerca de 200.000 clientes corporativos a proteger o que mais valorizam.
Mais de 90% das empresas brasileiras preferem terceirizar ou adotar modelos híbridos de SOC
iFood confirma vazamento de dados de 1,2 milhão de usuários e ANPD pede explicações
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
