A Check Point analisa o sucesso das armadilhas dos códigos QR e as principais preocupações para o usuário. Os códigos QR são um ponto de ligação entre o mundo offline e online. Ao escaneá-lo com seu smartphone, você pode acessar rapidamente o conteúdo digital acionado pelo código – um sonho para o comerciante, que pode direcionar usuários para informações e serviços com mais facilidade.  Melhor ainda, o código apresenta um fator estético e desperta a curiosidade, e os usuários apreciam a conveniência de “apontar e navegar”.

Mas, esses mesmos fatores também são úteis para hackers, que usam a tecnologia como uma ferramenta de engenharia social para aproveitar do interesse e da confiança do usuário e direcioná-lo para sites maliciosos ou malware.  Enquanto o conceito de downloads direcionados já está bem estabelecido como uma tática clandestina para roubar dados de usuários navegando na Internet, os códigos QR oferecem um método novo de manipular usuários móveis de funcionam de maneira semelhante.

Depois de distribuir o código QR, o hacker possui uma série de opções para aproveitar do usuário.  Basicamente, o código pode simplesmente redirecionar o usuário para sites falsos para phishing – por exemplo, uma loja online ou um site de pagamentos falsos que roubam os dados do usuário. 

Explorações mais sofisticadas usam o código QR para direcionar o usuário para sites que ‘desbloqueiam’ seu dispositivo móvel – ou seja, esses sites oferecem acesso ao sistema operacional do dispositivo e instalam malware.  Basicamente, esse é um ataque direcionado ao dispositivo, permitindo a instalação de outros softwares ou aplicativos, como gravadores de teclado e rastreadores de GPS, sem o conhecimento ou a permissão do usuário. 

O passo mais importante é conseguir definir exatamente qual link ou recurso o código QR pretende acessar quando for lido.  Alguns aplicativos de leitura de códigos QR oferecem essa informação e –ainda mais importante – perguntam se o usuário realmente quer realizar a ação.  Com isso, o usuário tem a oportunidade de avaliar a validade do link antes de ativar o código. 

Para smartphones corporativos, uma alternativa é a criptografia para proteger dados sensíveis, mesmo que um código QR malicioso consiga instalar um Cavalo de Tróia no dispositivo, e bloquear o acesso do hacker.