QR Code: facilidade, coleta de dados e perigos do código bidimensional

Ainda nos anos 90, apontar uma câmera de um smartphone para um código de barras pixelizados, que converteria facilmente o gráfico em texto interativo, já vislumbrava a pré realidade. Hoje, mais de duas décadas depois, o QR Code continua a conquistar variadas áreas — dos meios de pagamento à facilidade de disponibilizar informações diversas. Contudo, a popularização de uma tecnologia traz impactos e consequências. Neste caso, uma conveniência que também divide espaço com a exploração de dados por terceiros e atacantes.

Inicialmente, o QR Code (sigla em inglês para ‘Quick Response’ Code) ou código QR (código de resposta rápida em português) foi usado [implementado] para catalogar peças de produção de veículos. A tecnologia foi criada na terra do sol nascente, e o padrão japonês lançado em janeiro de 1999 pela Denso Wave Incorporated, uma empresa baseada em Tóquio e especializada no desenvolvimento e fabricação de dispositivos de captura automática de dados (códigos de barras, códigos QR, RFID e outros) e robôs industriais (equipamentos FA). Apesar de ser uma marca registrada da empresa, o uso do nome ‘QR Code’ é livre de qualquer licença.

Anos mais tarde, os usos do código bidimensional se expandiram além do Atlântico e da indústria automobilística, ganhando outros setores — particularmente a publicidade e o marketing — além de públicos-alvo. Com capacidade de armazenamento de até 100 vezes mais informações em comparação aos códigos de barra de uma só dimensão, uma nova forma de acessá-las era criada naquele momento, sem a necessidade de clicar em links ou colar manualmente uma URL em um navegador. A partir de um desenho gráfico, cada vez mais câmeras de celulares eram capazes de ler um número de telefone, texto, contato, mensagem ou endereço da web.

Imagem: Kampus Production/Pexels

A indústria de meios de pagamentos também teve benefícios sobre o QR Code, como transferências e pagamentos facilitados; as fintechs viram a inserção da novidade como uma forma de atrair a atenção de potenciais clientes e acirrar a concorrência.

Os quadrados preto e branco onipresentes ganharam ainda mais adesão de dois anos para cá, mais precisamente a partir de novembro de 2020, quando o Banco Central colocou em funcionamento o meio de pagamento eletrônico Pix de forma integral.

Imagem: Brenda Rocha – Blossom/Shutterstock

Intensamente incentivada pelo comércio, a pandemia de Covid-19 acelerou o uso de novos meios de pagamento por não necessitar do contato físico como outras formas de pagamento, os cartões de crédito, por exemplo.

Segundo um estudo divulgado em dezembro de 2021 pela consultoria PwC Brasil, o volume de pagamentos digitais deve aumentar até 80% até 2025, com o valor de cerca de US$ 1 trilhão para quase US$ 1,9 tri. Até 2030, as transações sem dinheiro físico devem triplicar, passando a 3 trilhões/ano.

A valorização do pagamento digital coloca o QR Code mais uma vez em destaque aliado ao Pix. Em São Paulo, por exemplo, o SP Pass saiu da fase experimental e já permite que passageiros paguem a tarifa de ônibus via tecnologia escaneada.

Esse cenário de adoção massiva do QR Code — comercial e financeiramente —, também empresta uma outra face como toda tecnologia: a exploração de dados por terceiros e atacantes. Como a importação de tecnologias que facilitam o dia a dia dos usuários, os golpes que não nascem por aqui também atravessam oceanos.

QR Codes são todos ‘iguais’ e seguros?

A resposta é não. Apesar de parecerem quadrados preto e branco semelhantes, há muitas particularidades importantes por trás do gráfico. Hoje, há pelo menos 40 tipos de especificações da definição gráfica de um código QR, de acordo com Caio Garcia, coordenador de produto na RecargaPay. Entretanto, é importante ressaltar que há duas grandes diferenças que separam os códigos usados por meios de pagamento e códigos QR comerciais.

Imagem: Banco Central

O primeiro, por exemplo, incluindo também os QR Codes do Pix, é baseado em um padrão único criado pelo Banco Central, conhecido como BR Code, baseado no EMV, da americana EMVCo, órgão técnico global de propriedade coletiva da American Express, Discover, JCB, Mastercard, UnionPay e Visa.

Semelhante ao formato de códigos bidimensionais, eles contêm informações que identificam quem recebe e quem envia o pagamento (KYC — Know Your Customer ou Conheça seu Cliente) e facilitam empresas a cumprirem leis, regras e regulamentos impostos pelo governo (compliance). Portanto, um modelo que facilita o cruzamento de dados — o código identifica todas as instituições que processam o pagamento, incluindo o CPF ou CNPJ do pagador — e dificulta crimes financeiros, sonegação de impostos e lavagem de dinheiro.

Apesar de cada empresa de pagamento desenvolver o próprio QR Code, ou seja, cada uma acaba tendo o seu próprio, a padronização do BC é que permitiu a todos esses códigos gerados pelas companhias de meios de pagamento lerem a mesma formatação.

Já os QR Codes comerciais — comuns em embalagens de produto, cupons de desconto, revistas, anúncios impressos, programas de TV, em mensageiros como WhatsApp e outras infinidades de opções —, ao contrário dos códigos 2D específicos para meios de pagamento, não possuem um padrão criado por uma instituição. Logo, qualquer usuário poderá inserir quaisquer tipos informações e gerar um QR Code válido. Ao fazer a leitura da string graficamente representada, o conteúdo armazenado, que pode ser desde uma URL a um comando para realizar certas ações, é revelado.

Imagem: Toa Heftiba/Unsplash

Nas lojas oficiais de aplicativos — tanto do Google quanto da Apple — é possível encontrar uma infinidade de aplicativos genéricos para fazer a leitura desses códigos. Alguns aparelhos modernos já contam com esse mesmo recurso desempenhado por esses apps, com tecnologia de leitura por meio da câmera do dispositivo.

Além dessas diferenças, é importante ressaltar que, por motivos de segurança, os QR Codes de pagamento só são lidos a partir do aplicativo de uma instituição financeira, diferentemente do códigos comerciais — escaneados tanto pela câmera de alguns modelos de smartphones quanto por apps leitores de QR Codes.

Como funciona e o que pode ser coletado no processo de leitura de um QR Code?

Segundo o manual do BR Code, padrão único do Banco Central para os códigos de resposta rápida do Sistema de Pagamentos Brasileiro (SPB), QR Codes de pagamento contêm informações do pagamento e o contexto de pagamento. Por exemplo, informações como conta do recebedor (identifica arranjos de pagamento), informações adicionais do recebedor (nome, país, idioma); informações sobre a transação (valor, moeda, propósito); e dados adicionais (número do invoice ou outros dados específicos do arranjo).

Imagem: Banco Central

De acordo com Garcia, os dois tipos de QR Codes do Pix — estático e dinâmico — compartilham informações muito distintas de um para outro. O primeiro, usado como facilitador para compartilhar a chave, cede nome da pessoa e a chave Pix (CPF, e-mail, telefone ou chave aleatória) ao recebedor. O banco, que possibilita essa transação, também vai coletar metadados.

Quanto ao dinâmico, informações sensíveis do pagador poderão ser compartilhadas (quem fez o pagamento, para quem, valor pago etc.), entretanto, eles são criptografados para que só a instituição financeira de pagamento tenha acesso a esses dados. Essas informações, frisa Garcia, são necessárias como método de segurança, para que a empresa consiga autenticar o usuário.

Já os códigos QR comerciais, Garcia descreve como se fossem ‘folhas em branco’, as quais dependem muito do objetivo de quem os gera. Ele aproveita para esclarecer que é o processo quem pode coletar dados ou alterá-los, os próprios “quadrados” não são o vilões da história, ou seja, não trocam dados entre si. Neste caso, é preciso ter cuidado com que está ‘inserido’ graficamente nesse código, pois o leque de possibilidades é irrestrito para atores maliciosos neste caso.

‘Não à leitura automática’: perigos por trás de um código de resposta rápida

“Leia o código, mas não automaticamente”, a frase resumia o que era uma das preocupações principais discutidas pelo Banco Central antes da implementação do QR Code do Pix, já que fraudes e casos de phishing utilizando a tecnologia eram possíveis de ocorrer, o que poderia, por consequência prejudicar o código 2D aos olhos do público.

Imagem: Bloomicon/Shutterstock

Casos recentes mostram que atores maliciosos têm se empenhado em buscar formas de se aproveitar daquelas preocupações levantadas pelo BC pré-implementação do Pix, atualizando técnicas de fraudes que já eram bastante difundidas com boletos. Neste caso, os ataques miram tanto QR Codes do Pix quanto os códigos comerciais.

De acordo com a empresa de cibersegurança Kaspersky, o incentivo ao pagamento de faturas usando o QR do Pix pelas companhias também representa uma brecha observada por fraudadores. Nela, usuários domésticos e PMEs são as vítimas.

Assim como em contas de consumo enviadas por grandes empresas comerciais — saneamento, energia, telefonia —, as faturas falsas encaminhadas por esses atores também fornecem a opção de pagamento via QR Code. Como oferecem o suposto desconto de 5%, a opção de pagamento tem chance de preferência, frente ao código de barras, também contido no documento.

Para evitar ser vítima, a única solução é se atentar à identificação do CNPJ do recebedor.

• FluBot e TeaBot: novas campanhas de malwares visam usuários de Android

Quanto à exploração do sistema de códigos comerciais, os golpes se tornam ainda mais fáceis pela automação de ações comuns: adicionar detalhes de contato de um cartão de visita, pagar pelo estacionamento ou conceder acesso a uma rede Wi-Fi de visitantes.

Amplas capacidades conferidos ao QR Code permitem que eles sejam alvos de manipulação. Automatizar a adição de contatos, por exemplo, dá ao fraudador chances de trocar o contato real do banco por outro número para dar credibilidade a uma ligação ou até mesmo ligar para um serviço para descobrir o endereço da residência da vítima.

Como são facilmente criados, um autor mal-intencionado também poderá inserir um link em um código QR em um site, banner, e-mail ou até mesmo em um anúncio em papel. Normalmente, o objetivo é fazer com que a vítima baixe o app malicioso. Substituição de códigos QR de empresas legítimas também podem ocorrer em pôsteres ou placas.

Imagem: Kampus Production/Pexels

As possibilidades são praticamente ilimitadas quando se trata de um sistema muito explorável. Na Austrália, por exemplo, um homem foi preso por supostamente adulterar os QR Codes das placas de check-in nos centros de Covid-19; aqueles que escaneavam o código eram redirecionados a um site antivacinação.

Anti-vaxxers are to blame for a QR code scam in Blackwood. Fake QR codes were placed over genuine COVID safe check-ins and once scanned, it is understood it led people to a website with information against vaccinations. 7NEWS Adelaide at 6pm | https://t.co/8ftPfFYTVQ #7NEWS pic.twitter.com/NFAMNTdCrz

— 7NEWS Adelaide (@7NewsAdelaide) April 27, 2021

Como evitar problemas com códigos QR

Para segurança, a Kaspersky indica algumas dicas sobre o uso dos QR Codes:

Imagem: Tim Douglas/Pexels

● Não escaneie QRs de fontes suspeitas;

● Atenção aos links exibidos ao digitalizar o código. Atente-se se a URL tiver sido encurtada, porque com os códigos QR, não há razão convincente para encurtar nenhum link. Uma alternativa é usar um mecanismo de pesquisa ou loja oficial para encontrar o que procura;

● Faça uma verificação física rápida antes de escanear um QR Code de um pôster ou placa para ter certeza de que o código não foi colado sobre a imagem original;

● E lembre-se, os códigos QR também podem conter informações valiosas, como números de e-tickets, portanto, evite publicar esses documentos nas redes sociais.