Pesquisadores da Unit 42 divulgaram um estudo que aponta novos meios de disseminar documentos phishing, que ao invés de links, usa o meio dos QR codes. O relatório da Palo Alto Networks levantou que os ataques, observados principalmente nos Estados Unidos e Europa, têm como alvo diversos setores, incluindo os segmentos médico, automotivo, educacional, energético e financeiro. O objetivo principal é a coleta de credenciais, como logins e senhas, por meio de páginas falsas que simulam ambientes confiáveis como o Microsoft 365 ou até mesmo sites internos de empresas.
A pesquisa confirmou ainda que os cibercriminosos ocultam o destino do phishing usando mecanismos de redirecionamento de sites legítimos. Para tornar a ação ainda mais sofisticada, os golpistas têm adotado o Cloudflare Turnstile, um serviço de verificação humana gratuito. Embora legítimo, o relatório apontou que ele está sendo usado de forma maliciosa para dificultar a ação de sistemas automatizados de detecção de phishing.
Ataque Phishing por QR code
O QR code é uma imagem que pode ser escaneável por dispositivos móveis e conseguem armazenar vários tipos de informações, como números, textos ou URLs. Os usuários, normalmente, utilizam apps de câmeras em smartphones para interagir e abrir o código com a informação.
Mas, ao abrir o código que está em algum documento não legítimo, os usuários aumentam a probabilidade de terem dispositivos invadidos ou dados sensíveis vazados. Os pesquisadores da Unit 42 apontam que o desafio está no controle de segurança mais fracos dos aparelhos móveis, os quais permitem que os cibercriminosos contornem aos filtros de segurança.
O estudo destaca ainda que os ataques estão cada vez mais personalizados, com URLs que já trazem o e-mail ou nome da vítima incorporado. Isso faz com que, ao acessar a página falsa, o campo de login esteja pré-preenchido, restando apenas a inserção da senha.
A Palo Alto Networks concluiu que esses ataques representam um novo patamar de sofisticação na engenharia social, unindo aspectos técnicos e psicológicos para enganar usuários. A empresa recomendou que tanto usuários comuns quanto organizações invistam em educação digital, verificação de URLs antes de escaneá-las e filtros avançados de segurança para dispositivos pessoais e corporativos.
