Os códigos QR são seguros? Dicas e truques para um marketing móvel mais seguro
À medida que o mundo entra em agosto de 2021, observámos recentemente um marco global bastante importante - 500 dias de Covid.
As coisas não são certamente as mesmas e, embora as manchetes diárias nos garantam que não perdemos o rasto das grandes mudanças, houve algumas que, surpreendentemente, passaram despercebidas e que podem ainda suscitar grandes preocupações relativamente à nossa segurança num mundo cada vez mais digital.
Vamos começar esta discussão com uma pergunta enganadoramente simples:
Os códigos QR são seguros?
Digamos que é uma sexta-feira à noite – você e o seu parceiro estão exaustos de uma longa semana de trabalho e, para quebrar a monotonia do escritório em casa, decidem passar uma noite fora – revisitando um velho restaurante favorito.
Logo ao sentar-se, notará que falta alguma coisa em comparação com 2019 – Acabaram-se os menus peculiares. É provável que, em vez disso, tenha utilizado o seu smartphone para fazer uma encomenda, digitalizando um Código QR convenientemente colocado na sua mesa – tal como acontece em milhões de outros locais de restauração e bebidas em todo o mundo.
A maioria de nós não leva esta mudança subtil muito a sério – muitos citam os códigos QR como uma forma mais rápida, mais conveniente e mais segura de aceder a informações em várias situações. Foram mesmo citados como uma forma nova e revolucionária de reduzir o desperdício de papel.
Então, qual é o problema?
Para compreender melhor, vejamos como funciona esta inovação tecnológica moderna.
Como foram inventados os códigos QR e como funcionam
O humilde código QR é muito mais antigo do que a maioria de nós pensa – embora possa ter atingido uma popularidade generalizada apenas na última década, na verdade tem mais de 25 anos!
Em 1994, um engenheiro-chefe chamado Masahiro Hara, da empresa japonesa pioneira em tecnologia Denso Wave, teve uma súbita epifania enquanto jogava uma partida de Go durante a pausa para o almoço.
Ao aperceber-se de que os padrões mutáveis a preto e branco no tabuleiro de jogo também podiam representar dados, resolveu um problema fundamental para os clientes da indústria automóvel da sua empresa – a gestão de milhares de artigos diferentes nos seus inventários.
Na altura, os códigos de barras tradicionais eram restritivos, uma vez que apenas podiam tratar 20 caracteres de informação. O novo método de Hara – que em breve seria designado por “Quick Response” ou código QR – podia conter 200 vezes mais informação e era uma solução brilhante para os problemas de gestão de stocks.
A ideia era simples e funcionava em três etapas fundamentais:
Os dados seriam codificados e representados numa grelha quadrada de pontos pretos sobre um fundo branco.
Estes seriam lidos por dispositivos de imagem, como scanners ou câmaras, e processados utilizando uma técnica denominada correção de erros Reed-Solomon.
Uma vez corretamente interpretados, os dados seriam extraídos através de uma combinação de padrões horizontais e verticais.
A invenção de Hara foi um sucesso. Não só era possível digitalizar códigos QR em qualquer orientação, como também eram fáceis de imprimir, baratos e simplificavam bastante a gestão da cadeia de fornecimento quando chegavam ao chão de fábrica.
Atualmente, os códigos QR são utilizados para muito mais do que apenas a gestão de inventário. São frequentemente utilizados para permitir que qualquer pessoa com uma câmara de smartphone aceda facilmente a conteúdos da Web, aceite pedidos de pagamento, leia anúncios para obter cupões e até aceda a informações pessoais importantes – falaremos mais sobre isso daqui a pouco.
Como os códigos QR recolhem os nossos dados
Nos últimos 18 meses, os códigos QR multiplicaram-se por um fator que o velho Sr. Hara talvez nunca esperasse. De acordo com a Juniper Research, prevê-se que o número de utilizadores de pagamentos QR nos EUA aumente uns impressionantes 240% dentro de cinco anos, com números semelhantes a aparecerem em todo o mundo.
Embora isto signifique que milhões de pessoas munidas de smartphones estão a adotar a tecnologia, a partilha de dados QR não é uma via de sentido único – os códigos, ou melhor, as empresas por detrás deles, estão a ouvir silenciosamente.
Como em praticamente todos os cantos da Internet, os códigos QR representam uma oportunidade para as empresas localizarem, direccionarem e analisarem os seus clientes. Quando digitaliza um código QR, também partilha informações importantes sobre si, tais como:
Quando é que o exame foi efectuado
Com que frequência digitaliza o código
Onde o código foi digitalizado
Que acções tomou depois de aceder aos dados do código (dependendo do conteúdo para o qual foi direcionado e que não está acessível ao gerador do código QR)
Quanto dinheiro gastou, se o código estiver ligado a uma empresa (mais uma vez, esta informação não está disponível para o gerador do código QR)
Sem surpresa, a lista de pontos de dados que se pode recolher de uma única análise é perturbadoramente elevada – e suscitou preocupações de especialistas em segurança e privacidade em todo o mundo.
Em declarações ao New York Times, Jay Stanley, analista sénior de políticas da American Civil Liberties Union, explica-o de forma sucinta:
“As pessoas não compreendem que, quando se usa um código QR, se insere todo o aparato de rastreio online entre nós e a nossa refeição. De repente, a sua atividade offline de se sentar para comer passou a fazer parte do império da publicidade online.”
Caramba!
Se a experiência servir, não estamos muito longe de ver anúncios direccionados enquanto saboreamos o nosso hambúrguer favorito. À medida que as empresas vêem formas claras de transformar estes dados recolhidos sobre os nossos hábitos alimentares e de consumo em seu benefício, também vemos um grande aumento no apoio ao código QR por parte das gateways de pagamento.
Veja-se, por exemplo, o caso da Paypal, que tem promovido o suporte de códigos QR para milhões de pequenas empresas, bem como para grandes empresas como a Nike e a CVS.
Embora as empresas que criam e gerem os códigos QR dos restaurantes afirmem que não vendem informações pessoais, como dados de contacto e histórico de compras, a legislação sobre privacidade tecnológica em todo o mundo tem ficado muito aquém das próprias tecnologias.
Isto significa que, embora estas empresas não possam necessariamente vender as nossas informações a terceiros, podem certamente partilhá-las – por isso, talvez a revolução do código QR não seja tão limpa como alguns podem sugerir.
Como os códigos QR podem ser mal utilizados: O debate sobre o passe verde europeu
A utilização responsável dos códigos QR é um tema muito pouco abordado – e que chamou recentemente muita atenção quando as taxas de vacinação começaram a aumentar no continente europeu – e em particular em Itália.
Ao longo de 2020, os meios de comunicação social de todo o mundo mantiveram a península italiana debaixo de olho, uma vez que a Itália foi um dos primeiros países a sofrer o impacto da pandemia e os seus efeitos debilitantes na população e na economia. Quando o sistema de saúde do país entrou em colapso, provocando um grande número de mortes e o luto de milhares de famílias, os governos dos países europeus aperceberam-se de que era necessário tomar medidas drásticas.
Uma delas foi a questão do Passe Verde Covid. Então, o que é exatamente o Covid Green Pass?
Certificado Verde Digital
De acordo com um relatório da União Europeia, em 17 de março de 2021, a Comissão Europeia apresentou uma proposta de regulamento sobre um “certificado verde digital”. Este certificado era necessário para permitir a circulação segura e livre dos cidadãos da UE durante a pandemia e os consequentes confinamentos parciais. Foi também acompanhada de uma proposta que abrangia os nacionais de países terceiros que permanecem ou residem legalmente na UE.
O certificado verde digital forneceria prova de vacinação, resultados de testes de Covid-19 e informações sobre a aquisição de anticorpos. O objetivo do certificado era ajudar a restabelecer a livre circulação de pessoas na UE.
Em 25 de março de 2021, o Parlamento Europeu decidiu acelerar os trabalhos sobre a proposta da Comissão, que foi apresentada com êxito em junho de 2021.
O bom, o mau e o feio no Green Pass
Tal como o resto da UE, a Itália começou a emitir “Passes Verdes Covid” – o certificado digital que confirma o estado de saúde das pessoas na UE. Em função de diferentes critérios, o passe confere ao seu titular um de três estatutos:
Vacinado contra a Covid-19
Teste negativo
Recuperado de Covid-19
Numa altura em que o mundo começa lentamente a acordar da catástrofe de 2020, tornar esse passe obrigatório para entrar em atracções turísticas, restaurantes, escritórios e outros espaços públicos é certamente uma medida responsável – embora um pequeno pormenor tenha trazido uma série de preocupações que ninguém previu.
Uma vez que os códigos QR têm sido utilizados ao longo da pandemia como uma forma eficaz de limitar o contacto – estavam a ser utilizados para tudo, desde ligações a orientações de saúde pública a pagamentos médicos, parecia natural que o Covid Green Pass também tivesse um código QR.
O problema?
O Green Pass também contém uma quantidade significativa de informações pessoais, o que aumenta as preocupações com a segurança pessoal e a privacidade.
De acordo com o Dr. Michael Veale, professor de Direitos e Regulamentos Digitais da Faculdade de Direito da UCL, os dados contidos nos certificados digitais são facilmente susceptíveis de serem falsificados.
Poucas semanas após o arranque da medida, os programadores italianos começaram a carregar ferramentas digitais para verificar os seus Green Passes Covid – ajudando as pessoas a descobrir os dados que os códigos poderiam divulgar.
Infelizmente, a maioria das pessoas não é assim tão cuidadosa – ou simplesmente não tem conhecimentos digitais. Se juntarmos a isto uma pandemia global e um sistema de certificação puramente digital, temos uma receita para o desastre.
Ansiosos por celebrar o seu estatuto de vacinação, vários italianos entusiasmados recorreram às redes sociais, exibindo orgulhosamente os seus Green Passes Covid (e códigos QR) em vídeos e fotografias. De acordo com as especificações oficiais, os certificados digitais a que estes códigos QR se ligam contêm uma grande quantidade de informação sensível, como o nome, a data de nascimento, o estado de vacinação – e até o local onde escolheu ser vacinado. Nas mãos das pessoas erradas, isto pode facilmente servir como um método para perseguir e assediar vítimas inocentes – um problema tão grave que o Ministério da Saúde italiano também publicou um comunicado a exortar as pessoas a guardarem os seus passes para si próprias e a partilharem códigos QR de forma responsável.
A vulnerabilidade digital e os ministérios da saúde
Em Itália, esta situação resultou numa grave vulnerabilidade dos dados de milhões de pessoas – embora o Ministro da Saúde, Roberto Speranza, tenha, pelo menos, respondido ao desafio, como já foi referido.
No entanto, as coisas eram um pouco menos seguras – embora divertidas – no Ministério da Saúde da Malásia.
No início deste ano, o Ministro da Saúde da Malásia, Dr. Adham Baba, exibiu um código QR em direto na televisão. Esta ação foi realizada no âmbito do evento de transmissão em direto do programa de certificação digital da Malásia. Enquanto os operadores de câmara faziam zoom e o vídeo era difundido nas redes sociais da Malásia, chegou às mãos de alguns curiosos, que quiseram espreitar por baixo.
O resultado foi uma página no SoundCloud, propriedade de um homem de Cardiff, Inglaterra, que trabalhava em educação digital (e carregava música eletrónica) sob o pseudónimo ICT Evangelist. Para alguns, esta é apenas mais uma história bizarra num ano já de si bizarro – embora prove o ponto de vista que o homólogo italiano do Ministro Baba estava a tentar defender: se colocarmos os nossos códigos QR nas redes sociais, alguém tentará aceder a eles e, potencialmente, revelar informações sensíveis.
Outros riscos de segurança QR
Nem tudo se limita à partilha irresponsável de códigos QR. Como quase 20 milhões de pessoas descarregaram os seus passes verdes este verão, surgiu rapidamente um mercado negro. De acordo com as notícias italianas, vários cibercriminosos lucraram rapidamente com a criação de passes falsos. Citando a declaração da polícia postal italiana:
“Milhares de utilizadores foram registados em conhecidas plataformas de comunicação onde eram postos à venda falsos passes verdes, com garantia absoluta de anonimato, a pagar em criptomoedas ou vales para plataformas de compras online, a um preço entre 150 e 500 euros (175 a 590 dólares).”
É evidente que existe um grande mercado para a utilização indevida desta tecnologia e, sem medidas adequadas, a privacidade e a saúde das pessoas podem estar em sério risco.
A leitura de códigos QR também pode levar os utilizadores desavisados a sítios Web maliciosos – poucas pessoas, se é que as há, verificam o endereço exato para o qual um código QR as redirecciona, e muitas foram vítimas de “qishing”.
Esta nova forma de “phishing” envia códigos QR através de e-mails para vítimas desprevenidas, que lêem o conteúdo apenas para descobrir que o seu telemóvel foi comprometido por vírus ou spyware escondidos.
Como os códigos QR prejudicaram a criptomoeda
Outra tecnologia que acompanhou o passeio ao longo da última década foi a criptomoeda – à medida que a tecnologia blockchain começou a varrer o mundo, o mesmo aconteceu com a utilização do código QR.
No entanto, esta situação levou a alguns momentos difíceis para alguns comerciantes infelizes. Como as próprias bitcoins são compostas por dados, são frequentemente incorporadas em códigos QR para serem digitalizadas. Isto levou a um aumento de golpistas que criavam códigos QR para se fazerem passar por trocas legítimas de BTC.
Como os códigos QR podem aumentar a segurança
Depois de toda esta informação, é provável que tenha perdido a sua confiança no sistema de código QR. No entanto, não se precipite a rejeitá-lo ou descartá-lo. Para além da sua espetacular facilidade de utilização e baixo custo, os códigos QR também oferecem algumas formas de reforçar a segurança digital.
Eis algumas das principais técnicas:
Autenticação multi-fator
É frequente encontrar MFA ou autenticação multifactor ao efetuar transacções através da Internet, ao iniciar sessão em ambientes altamente seguros ou mesmo apenas como uma forma super segura de bloquear os seus dispositivos pessoais.
O QR acrescenta um nível extra de segurança à MFA ao incluir um código QR que os dispositivos registados podem ler. Assim, não só oferece um código de início de sessão encriptado, como também torna o processo tão simples como abrir a câmara do seu telemóvel.
Sistemas de pagamento móvel
Digamos que deve um jantar a um amigo ontem à noite – quando se encontrarem da próxima vez, os códigos QR poderão desempenhar um papel fundamental para ajudar a liquidar a transação da forma mais segura e conveniente possível.
Em vez de ter de enviar dados bancários longos e complicados, pode simplesmente pedir ao seu amigo que leia um código QR apresentado no ecrã do seu telemóvel, gerado por um sistema de pagamento móvel.
Em segundos, pode receber e enviar dinheiro de forma fácil e segura – sem ter de partilhar informações de conta reais com a outra parte.
A necessidade de informações de segurança sobre códigos QR
Naturalmente, os códigos QR são uma tecnologia fantástica que simplificou as operações comerciais de milhares de empresas e ajudou a salvar vidas e a promover o distanciamento social durante a pandemia.
No entanto, como qualquer tecnologia, pode ser mal utilizada quando manuseada por pessoas mal-intencionadas.
A resposta está em educarmo-nos sobre os riscos de vivermos num mundo cada vez mais digital, em compreendermos como a tecnologia que utilizamos trata as informações sensíveis e em mantermo-nos alerta e responsáveis tanto quanto possível.
Continue a ler para obter algumas dicas cruciais sobre a segurança do código QR.
Segurança do código QR – Dicas importantes para manter os seus dados seguros
Para ajudar a tornar este processo mais fácil, compilámos uma série de dicas importantes a ter em conta relativamente à utilização do código QR. Se as respeitar, os seus dados permanecerão seguros e não serão comprometidos.
Certifique-se de que o seu código QR não foi adulterado
Uma das formas mais comuns de utilização maliciosa dos códigos QR é a sobreposição de códigos legítimos com códigos falsos concebidos para redirecionar os scanners para sítios Web prejudiciais.
Sempre que digitalizar um código QR impresso em áreas públicas, certifique-se de que o código não foi adulterado ou substituído por um autocolante de um código ilegal. Além disso, preste atenção ao design e ao alinhamento – se parecer estranho, é melhor pensar duas vezes antes de digitalizar.
Compatível apenas com HTTPS
Esta camada de dados encriptados significa que a sessão entre o servidor Web e o browser no dispositivo móvel que está a utilizar é encriptada. Em termos simples, sempre que acede a uma página Web que começa por https:// em vez de http://, está a aceder a uma rede muito mais segura que o protege a si e ao Web site de eventuais espiões.
O Hypertext Transfer Protocol Secure (HTTPS) é uma combinação do Hypertext Transfer Protocol (HTTP) com o protocolo Secure Socket Layer (SSL)/Transport Layer Security (TLS). O TLS é um protocolo de autenticação e segurança amplamente implementado em browsers e servidores Web.
O SSL funciona através da utilização de uma chave pública para encriptar os dados transferidos através da ligação SSL, permitindo que o utilizador e os seus clientes comuniquem de forma segura com o servidor Web – sem que mais ninguém os ouça.
Dedique algum tempo a ler os seus URLs
Sim, sabemos que isto parece irritante – mas ouça-nos por um segundo.
Uma das formas mais comuns de os ladrões de dados roubarem informações como os dados de início de sessão das pessoas é através da criação de sítios Web que se fazem passar por legítimos – frequentemente designados por sítios Web de phishing.
Uma vez que os códigos QR são frequentemente utilizados para direcionar os utilizadores para páginas de início de sessão, certifique-se de que lê e verifica exatamente qual é a ligação. Uma página de phishing geralmente não apresenta proteção HTTPS e pode conter um erro de digitação facilmente ignorável no URL.
Por exemplo, muitas pessoas foram vítimas de esquemas de phishing em sites concebidos para se assemelharem à página de início de sessão da Apple, mas que, em vez disso, pretendem recolher a sua palavra-passe e ID de início de sessão. Se alguma vez se deparar com algo como “appl-eserv.com”, é melhor dar meia volta!
Cuidado com os encurtadores de ligações
Sempre que utilizar o seu telemóvel para ler um código QR, é provável que este lhe envie uma janela pop-up com o endereço Web para o qual o código o está a redirecionar. Embora, idealmente, estas ligações devam ser facilmente compreensíveis e seguras, por vezes também encontrará ligações encurtadas, geradas em sítios Web como bit.ly e TinyURL.
Embora várias empresas utilizem ligações encurtadas para simplificar a sua pegada digital (e, por vezes, aumentar o reconhecimento da marca), também podem constituir um risco de segurança, uma vez que os URL encurtados normalmente não revelam nada sobre o sítio Web real.
Mais uma vez, se o encurtador de ligações tiver proteção HTTPS, é provavelmente legítimo.
Mantenha um software antivírus atualizado no seu telemóvel
Dizem que a prevenção é a melhor cura – mas o que fazer quando o malware pode ser encontrado em todos os cantos da Internet?
É melhor tomar a sua segurança nas suas próprias mãos e manter o seu smartphone protegido – e tudo começa com a utilização de um sistema antimalware poderoso e atualizado.
Estes analisam periodicamente o seu dispositivo, eliminam ameaças e avisam-no de ligações perigosas e outras vulnerabilidades quando configurados corretamente.
Tenha cuidado quando lhe pedirem dados pessoais
Muitas vezes, um código QR pode redireccioná-lo para uma página Web que pede informações pessoais – desde endereços de correio eletrónico relativamente inócuos a palavras-passe bancárias importantes.
Naturalmente, mantenha-se alerta e evite fornecer informações de forma descuidada – se uma página lhe pedir algo demasiado importante, é melhor afastar-se. Muitas empresas e governos estão a mudar para formulários sem contacto – estes criam uma camada adicional de segurança no processo.
Tenha estas precauções em mente quando se deparar com um código QR e estará bem protegido contra possíveis contratempos.
Como é que as empresas de QR garantem a segurança dos utilizadores?
Se está a pensar em utilizar códigos QR para gerir o seu negócio de forma mais eficaz, terá também de fornecer medidas de segurança e privacidade fortes para a sua organização e clientes.
Um bom gerador de códigos QR com uma reputação sólida e uma longa história tem isto em conta – o QRcodeKit.com, por exemplo, utiliza os seguintes protocolos para manter os dados de qualquer leitor seguros:
Um sistema pormenorizado de luta contra a cibercriminalidade
O QRcodeKit.com utiliza um sistema especializado para detetar ataques nocivos, passivos e activos. As suas definições de segurança estão em conformidade com as normas empresariais globais e de vanguarda, bem como com os regulamentos governamentais.
Têm também o apoio de vários serviços de cibersegurança, como o PhishLabs, a API de proteção contra phishing da Google e a Amazon Security Team, que ajudam a sua equipa a encontrar e eliminar rapidamente actividades maliciosas sob a forma de phishing, spam, pharming ou cross-site scripting.
Segurança de estatísticas à prova de bala
É um facto bem conhecido que todos os geradores de códigos QR utilizam técnicas de recolha de dados – embora estes possam ser utilizados pelas empresas para servir melhor os seus clientes, os piratas informáticos também os podem extrair.
Um bom gerador de código QR manterá seus dados trancados a sete chaves. No caso do QRcodeKit.com, padronizamos a conformidade com o GDPR – o padrão europeu, que impõe a proteção de dados mais segura do mundo, com penalidades severas para dissuadir qualquer potencial infrator.
Transparência com rastreio de dados
Também é essencial estabelecer uma ideia clara e transparente das informações que os códigos QR de um gerador irão rastrear. O QRcodeKit.com é conhecido por manter as coisas simples na nossa página web – listando as seguintes variáveis de rastreio:
Quando foram digitalizados.
Onde foram digitalizados.
Quantas vezes foram digitalizados.
Que tipo de sistema operativo os analisou.
Idade e sexo das pessoas que os digitalizaram (apenas se as Definições de privacidade do Google estiverem definidas como públicas, o que pode ser alterado).
Uma vez que as empresas dependem cada vez mais da análise de dados, é importante nunca sacrificar a segurança do cliente em prol de informações potencialmente lucrativas.
Uma equipa de apoio à cibersegurança 24 horas por dia, 7 dias por semana
Os elementos maliciosos na Internet não tiram dias de folga. Por isso, se acabou por comprometer os seus dados ou se deparou com qualquer outro problema, tem de trabalhar o mais rapidamente possível para controlar os danos.
O QRcodeKit.com oferece uma equipa de apoio 24 horas por dia, 7 dias por semana, com formação para responder rapidamente e fornecer orientações a empresas, governos, instituições ou indivíduos que comuniquem actividades suspeitas – se acabar numa crise de segurança digital, precisa de alguém útil ao seu lado.
Um sistema de backup robusto
Em situações de emergência, como uma violação de dados, um fornecedor de códigos QR precisa de manter um sistema infalível de cópias de segurança.
No caso do QRcodeKit.com, isto é feito através de uma configuração de espelhamento do servidor – em conjunto com backups de hora a hora para uma fiabilidade absoluta. Se encontrar algum site malicioso, certifique-se de que envia um relatório ao QRcodeKit.com seguindo estas instruções de relatório de atividade QR suspeita. O QRcodeKit.com leva estas questões a sério e coloca imediatamente na lista negra todos os sites que se provou serem prejudiciais.
Conclusão
Os códigos QR são o futuro, não há dúvida sobre isso. Dado que os governos e as empresas, tanto grandes como pequenas, em todo o mundo estão a adotar cada vez mais códigos QR, estes já são uma ocorrência diária para muitos de nós.
No entanto, a par desta utilização em grande escala, surge uma enorme necessidade de leitura segura e responsável de códigos QR. É aqui que entra um gerador de código QR fiável, como o QRcodeKit.com, que oferece anos de experiência e uma longa lista de clientes de confiança.
