Cibercriminosos estão tentando fraudar pagamentos via QR Code nas estações de recarga de carros elétricos em países da Europa. A nova modalidade passou a ser aplicada com o crescimento da rede de telepostos no velho continente, um reflexo do aumento da frota de veículos eletrificados.
No Brasil, esse setor também avança, com sucessivos recordes no emplacamento de veículos leves que utilizam eletricidade para circular, com ou sem uma outra fonte de forma híbrida. De janeiro a setembro de 2024, foram vendidas 122.548 unidades, perfazendo uma alta de 113% sobre o mesmo período de 2023. A expectativa é de que, no fim do ano, essa frota seja de 400 mil. A evolução desses números está relacionada à expansão da infraestrutura de recarga, que já passa de dez mil eletropostos, informa a Associação Brasileira do Veículo Elétrico (ABVE).
Na Europa, onde esse golpe começou a ser aplicado nos pontos de recarga, os criminosos combinam técnicas de abordagens físicas e virtuais para roubar os dados de quem utiliza o QR code para pagar pelo abastecimento elétrico.
A fraude ocorre por meio do quishing, união das palavras phishing e QR code, que sobrepõe códigos QR falsos aos autênticos. Quando são verificados, eles levam as vítimas a um site de phishing para coletar suas credenciais ou baixar malware.
“É uma tática especialmente eficaz porque não desperta o mesmo nível de suspeita entre os usuários como, por exemplo, URLs de phishing. Além disso, os dispositivos móveis são normalmente menos protegidos do que laptops e desktops, portanto há mais chances de sucesso. Um relatório do final do ano passado publicado pela revista Infosecurity indicou um aumento de 51% nos incidentes de quishing em setembro, em comparação com janeiro-agosto de 2023”, comenta Daniel Barbosa, pesquisador de segurança da ESET Brasil.
De acordo com o especialista, a falta de familiaridade com essa tecnologia, por ser relativamente nova, torna os usuários mais propensos a escanear o código sem verificar a autenticidade, em vez de buscar o aplicativo oficial de cobrança/pagamento ou entrar em contato com o canal de apoio.
O pesquisador da ESET Brasil acrescenta que, embora as fraudes atuais pareçam estar limitadas à captação de dados de pagamento através de páginas de phishing, elas podem também ser usadas para instalar malwares que sequestram o dispositivo da vítima e/ou roubam outros dados de login e senhas.
“Independentemente da tecnologia utilizada, é interessante que os usuários se mantenham atentos a qualquer mínima evidência de golpe, além de possuir formas adequadas de proteção, uma vez que as técnicas de golpe evoluem continuamente”, destaca.
Em relação aos procedimentos de segurança, Barbosa orienta a prestar atenção ao QR code e aos possíveis sinais de alerta: “Não se deve ler um código, a menos que ele apareça no próprio terminal do parquímetro”.
Outro cuidado essencial apontado pelo especialista é efetuar o pagamento por telefone ou aplicativo oficial da empresa prestadora do serviço, assim como analisar o site para o qual o QR code transfere, inclusive se há erro gramatical ou ortográfico.
“Se por algum motivo for vítima de algum golpe, é interessante bloquear o cartão e denunciar a fraude ao banco ou operadora do cartão imediatamente e fazer um boletim de ocorrência, além de verificar se há outras transações suspeitas no extrato da conta”, enfatiza Barbosa.
Além disso, outra estratégia de segurança eficiente, segundo o pesquisador, é o uso da autenticação de dois fatores (2FA) em todas as contas que fornecem uma camada adicional de segurança. “O uso desse recurso adiciona uma camada a mais de proteção, mesmo que um golpista consiga direcionar para um site fraudulento e roubar suas credenciais. É importante que o usuário certifique-se de que seu dispositivo móvel tenha software de segurança instalado de um fornecedor confiável”, finaliza o pesquisador de segurança da ESET Brasil.
