0
0
Os códigos QR tornaram-se incorporados no cotidiano para muitos adultos. Sua propagação foi destacada no Domingo do Super Bowl, quando um código QR saltitante em um campo colorido ocupou 30 segundos de tempo de ar muito caro. A captura desse código QR em particular levou os espectadores a informações sobre criptomoedas. Códigos que surgiram em mesas de restaurantes em todo o país levam a menus e aplicativos para pagar taxas de refeição. Outros códigos podem levar a destinos muito menos benignos.
As mesmas qualidades que tornam os códigos QR tão valiosos fazem deles uma ameaça legítima à segurança cibernética corporativa (e pessoal). Um tipo de código de barras introduzido em 1994 pelo fornecedor automotivo Denso Wave, os códigos QR foram usados pela primeira vez para rastrear componentes e subconjuntos através de um processo de montagem de automóveis. Existem agora 40 versões do código QR, cada uma carregando uma quantidade diferente de informações. Dependendo da correção de erro empregada, a capacidade de código QR pode variar de 72 a 16.568 bits — mais do que suficiente para transportar informações significativas sobre uma peça ou uma instrução maliciosa para seu dispositivo móvel ou rede corporativa.
E as oportunidades de entregar essas instruções maliciosas explodiram logo após o início da pandemia, quando inúmeros restaurantes, ansiosos para evitar o aparecimento de vírus de entrega junto com menus, mudaram os clientes para um menu visto em seus celulares. Como esses menus chegaram aos celulares dos clientes? Através de um código QR digitalizado. Convenientes, higiênicos e onipresentes, os códigos QR revolucionaram a entrega do menu e o feedback do cliente. Eles também revolucionaram os métodos de entrega para malware e ataques de engenharia social.
Dê uma olhada mais de perto
O problema não é realmente com a capacidade de códigos QR — esses recursos tornam os códigos muito úteis para qualquer número de propósitos legítimos de negócios e consumidores. O problema é que muitas pessoas pararam de pensar nos códigos que eles digitalizam. Quantas vezes você já viu pessoas entrarem em um restaurante e escanearem o código QR a partir de um adesivo anexado à mesa, muitas vezes escaneando o código antes que eles estejam totalmente instalados em seus assentos? Esse tipo de varredura reflexiva é o componente humano da vulnerabilidade que o código introduz à empresa.
Então, o que uma equipe de segurança corporativa pode fazer sobre isso? Dada a onipresença do código quadrado, é improvável que seja improvável que seja improvável que a proibição de digitalização funcione. A melhor abordagem, como em tantas coisas cibernéticas, é a educação sólida sobre a ameaça e as melhores práticas para minimizar seu impacto.
A primeira coisa que os funcionários devem aprender é que a digitalização de um código QR nunca deve ser automática. Quer ver um menu no seu smartphone? Ótimo — peça ao servidor para lhe trazer uma folha com o código QR impresso nele. Quer deixar uma crítica? Ótimo — escaneie o código na parte inferior do seu recibo. Códigos QR em adesivos aleatórios presos a mesas e portas devem ser tratados com suspeita, uma vez que eles são muito públicos um conjunto de locais para confiar.
O próximo é aprender a considerar o contexto ao digitalizar um código QR. Em um sinal oficial com um logotipo no saguão do seu banco? Talvez. Em um adesivo torto na frente de uma bomba de gasolina? Difícil não. Tratar códigos QR como você faria com qualquer outro bit de kit eletrônico é importante porque é exatamente isso que eles são: mecanismos para transportar e entregar código a um dispositivo. Só porque são feitos de tinta e papel em vez de silício e arsênio de gálio não significa que sejam menos eficazes – ou perigosos.
Considere treinamento
O perigo potencial dos códigos QR é na verdade uma boa desculpa para introduzir treinamento sobre perigos além da mensagem de e-mail de phishing óbvia e do site desonesto. Criminosos e atores de ameaças estão ansiosos para tirar proveito de ações tomadas sem pensar — momentos em que os funcionários estão no “piloto automático” em relação às suas ações. Treine os funcionários para parar e pensar sobre códigos, imagens e adesivos antes de lançar a URL anexada e você pode muito bem reduzir o número de pacotes de malware que vêm anexados a pedidos de cookies pegajosos.
FONTE: DARK READING