QRLjacking: o sequestro de contas do WhatsApp pelo QR Code

Saiba o que é o QRLjacking, um tipo de ataque que qualquer utilizador do WhatsApp pode sofrer e através do qual um hacker pode sequestrar a conta do utilizador e aceder à sua informação

Como se não fosse suficiente a existência de mensagens maliciosas com promessas tentadoras e com a única intenção de prejudicar as vítimas, os hackers estão sempre atentos a outras oportunidades, por exemplo, sequestrar por completo uma conta do WhatsApp. Ou seja, ter acesso a todos os contactos, todos os arquivos e todas as conversações da conta da vítima.

Para conseguir semelhante objetivo, os hackers podem utilizar um tipo de ataque conhecido como QRLjacking, o qual se aproveita de técnicas de engenharia social para atacar aplicações que utilizam QR Code como método de registo, como a própria aplicação do WhatsApp, que oferece aos utilizadores a possibilidade de utilizar a app num computador.

Quem já utilizou a app de mensagens num computador sabe que o processo é muito simples: no ecrã principal da aplicação necessita apenas de aceder às opções e selecionar “WhatsApp Web”, para que apareça um ecrã para o scanner de um QR Code. Assim, basta abrir a página de acesso ao WhatsApp no computador (https://web.whatsapp.com), fazer o scanner do código através da aplicação e pronto, a app passa a estar disponível no computador.

Os hackers aproveitam-se dessa função para convencer as suas vítimas a fazer o scanner do QR Code gerado por eles para realizar o ataque. De seguida apresentamos um exemplo de uma página, criada pela ferramenta, que tenta sequestrar a sessão das vítimas.

À primeira vista muitos poderão dizer: “mas este site está muito mal feito, não se parece nada com a página oficial do WhatsApp Web, ninguém faria o scanner desse QR Code”. Talvez este pensamento esteja certo. No entanto, a ferramenta maliciosa quando adaptada às necessidades de cada hacker funciona da mesma forma que a maioria das ferramentas maliciosas.

A sua estrutura interna abre uma página standard apenas como exemplo, já que o código fonte da página está disponível para modificação e aceita códigos HTML, scripts, assim como outros recursos utilizados no desenvolvimento de páginas web.

Imagine que o hacker dedica tempo a desenvolver algo mais convincente, como seja um anúncio publicitário que oferece um ano de algum serviço completamente gratuito, e que essa publicidade apareça quando a vítima estiver a navegar na Internet. Provavelmente o contexto lhe dê uma aparência mais convincente, não?

Esta é apenas uma das possíveis formas possíveis em que um hacker conseguiria manipular a página de exibição para fazer com que caiam na fraude.

Como funciona o ataque de QRLjacking

O código QR é uma imagem que, depois de interpretada, gera um conjunto de códigos. No caso do WhatsApp, a app utiliza esse código para validar o acesso dos utilizadores ao seu sistema, sem nenhum tipo de validação adicional.

Sabendo isto, hackers desenvolveram ferramentas que capturam e armazenam a imagem do QR Code gerado pelo WhatsApp e criam um novo QR Code para mostrar à vítima, tal como se pode apreciar nas imagens anteriores.

Depois disto, a sessão da vítima fica armazenada no computador do hacker e este pode utilizá-la como e quando desejar, isto sem causar qualquer tipo de interrupção no uso da aplicação no telefone da vítima.

Sobre a tecnologia QR

Apesar desta publicação se focar numa ameaça que ocorre no WhatsApp, é importante sublinhar que diversas aplicações utilizam o QR Code. E o facto de existir a possibilidade de comprometer os utilizadores do WhatsApp significa que todas as aplicações que utilizem QR Code desta mesma forma podem sofrer ataques semelhantes.

É possível aumentar o nível de controlo e realizar validações adicionais para que o QR Code possa ser utilizado de forma mais segura, mas a segurança deste recurso tão prático choca no mesmo ponto da grande maioria dos novos recursos tecnológicos: o equilíbrio entre a usabilidade e a segurança. Muitas vezes os fabricantes querem oferecer novos e incríveis recursos, mas deixam a segurança total ou parcialmente de lado.

Também é necessária uma consciencialização por parte dos fabricantes para que os dados dos utilizadores estejam cada vez mais protegidos e que as aplicações contem cada vez mais com recursos focados na segurança dos mesmos.

Como evitar ser vítima desta fraude

Não é necessário deixar de utilizar um recurso pelo simples facto de se descobrir que o mesmo não possui características de segurança suficientes para evitar que contas sejam sequestradas. Basta ter um comportamento seguro e manter-se alerta, já que alguns detalhes não podem ser alterados nem mesmo pelo hacker mais experiente. Mantenha-se atento às recomendações de segurança que elaborámos a pensar em si:

  • Conheça a aplicação que está a usar. No caso do WhatsApp o recurso de scanner do QR code serve única e exclusivamente para permitir que os utilizadores utilizem a aplicação nos seus computadores, nada mais. Se algum banner de publicidade aparecer, independente do site que seja, a pedir para fazer o scanner de um código QR dando-lhe em troca algum benefício ou a solicitar alguma validação, não acredite, isto é parte de um ataque. Caso um recurso similar a esse fosse de facto verdade ele seria amplamente divulgado pelo WhatsApp nos seus meios oficiais.
  • Aceda o mínimo necessário em redes públicas ou pouco fiáveis. Esse e tantos outros tipos de ataques acontecem quando o criminoso/hacker está na mesma rede das suas vítimas, assim sendo, evite usar recursos que não sejam extremamente necessários para si no momento em que precisa utilizar uma rede insegura.
  • Fique atento à sua navegação mesmo estando em redes seguras, como em casa ou no trabalho. Infelizmente os hackers podem ser literalmente qualquer pessoa, não é possível saber quão próximo deles estamos. Manter a atenção mesmo estando em redes consideradas seguras é uma ótima prática que evita diversos tipos de ataques.
  • Ataques deste tipo costumam não gerar nenhum tipo de retorno para o utilizador, caso faça o scanner a um código e não receba nenhum retorno muito provavelmente trata-se de um ataque. Em caso de dúvidas, na janela principal do WhatsApp vá a WhatsApp Web e saia de todas as sessões que foram iniciadas. Isto fará com que os hackers percam acesso ao WhatsApp das suas vítimas imediatamente.
  •  Mantenha todos os softwares de segurança ativados e configurados para bloquear ameaças, tanto no seu smartphone como no seu computador.
  • Faça atualização constante de todos os softwares e aplicações. As atualizações trazem novos recursos e corrigem eventuais problemas de segurança que os softwares possam ter.

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

fifteen + five =