Como funciona o phishing com código QR?
- Criação de códigos QR maliciosos: Os phishers criam códigos QR que parecem conduzir a sites ou aplicações legítimos, mas que secretamente redireccionam as vítimas para sites falsos e maliciosos.
- Distribuição: Estes códigos QR maliciosos são distribuídos através de vários meios, incluindo correio eletrónico, SMS, redes sociais, panfletos ou mesmo colocando autocolantes sobre códigos QR legítimos.
- Conteúdo enganoso: Quando digitalizado, o código QR redirecciona os utilizadores para um site ou aplicação fraudulenta que imita uma entidade de confiança, como um banco, uma plataforma de comércio eletrónico ou uma rede de redes sociais. A página normalmente pede ao utilizador que introduza informações sensíveis, como credenciais de início de sessão, detalhes do cartão de crédito ou informações pessoais.
- Recolha de dados: Depois de a vítima introduzir as suas informações, o phisher recolhe-as para fins maliciosos, que podem incluir o acesso não autorizado a contas, roubo de identidade ou fraude financeira.
- Instalação de malware: Em alguns casos, os sites falsos também podem tentar instalar malware no dispositivo da vítima, comprometendo ainda mais a sua segurança.
Proteger a sua organização contra o phishing de códigos QR
- Formar a sua força de trabalho: Formar os funcionários para reconhecerem os riscos associados à leitura de códigos QR desconhecidos e para verificarem a origem de qualquer código que encontrem. Patrick Schläpfer, analista de malware da HP, afirmou que a sua equipa tem observado, desde há meses, uma atividade de quishing baseada em correio eletrónico quase diariamente
- Utilizar uma aplicação de leitura de códigos QR: Incentive os funcionários a utilizarem uma aplicação de leitura de códigos QR respeitável que inclua funcionalidades de segurança como a pré-visualização de URL, que apresenta o endereço do Web site antes de o abrir. Evite aplicações de código QR genéricas ou desconhecidas, uma vez que podem não ter medidas de segurança.
- Verificar fontes: Antes de digitalizar um código QR, certifique-se de que provém de uma fonte fiável. Verifique a marca, a consistência do design e a legitimidade do sítio Web ou do evento que representa.
- Manter o software atualizado: Certifique-se de que todos os dispositivos e software utilizados na sua organização são actualizados regularmente para resolver as vulnerabilidades de segurança. As actualizações incluem frequentemente correcções para vulnerabilidades conhecidas relacionadas com o código QR.
- Implementar a gestão de dispositivos móveis (MDM): As soluções MDM permitem que as organizações tenham um melhor controlo sobre os dispositivos utilizados pelos seus funcionários, permitindo a aplicação de políticas de segurança e a capacidade de apagar remotamente os dispositivos, se necessário.
- Acesso seguro à rede: Informe os funcionários sobre a importância de ligações Wi-Fi seguras. Incentive-os a utilizar redes privadas virtuais (VPNs) quando se ligarem a redes Wi-Fi públicas e a terem cuidado com códigos QR de Wi-Fi desconhecidos.
- Autenticação de dois factores (2FA): Active a 2FA para todas as contas e aplicações relevantes na sua organização. Mesmo que os atacantes consigam roubar as credenciais de início de sessão, a 2FA proporciona uma camada extra de segurança.
- Auditorias de segurança regulares: Efectue auditorias de segurança regulares e testes de penetração para identificar vulnerabilidades nos sistemas da sua organização, incluindo as relacionadas com os códigos QR.
- Comunicar atividade suspeita: Incentive os funcionários a comunicarem quaisquer códigos QR suspeitos ou tentativas de phishing que encontrem à equipa de TI ou de segurança da sua organização.
O phishing de código QR é uma ameaça crescente que as organizações devem enfrentar para se protegerem a si próprias e aos seus funcionários. Ao educar a sua força de trabalho, implementar medidas de segurança e manter-se vigilante, pode reduzir significativamente o risco de ser vítima de ataques de phishing de código QR.
Comentários
Postar um comentário