CatEye
Cibersegurança

Anatomia Técnica do Quishing

Gus Aragón
#Cibersegurança#Quishing#QR Code#Treinamento

Originados na década de 90 pela Denso Wave, uma subsidiária da Toyota, os códigos QR surgiram com o intuito de rastrear peças na produção automobilística. Ao longo dos anos, sua utilização diversificou-se, abrangendo desde pagamentos móveis até processos de autenticação. Entretanto, essa popularização trouxe consigo uma ameaça: o Quishing.

Quishing é a prática de usar códigos QR maliciosos para ludibriar vítimas. O termo nasce da combinação de “QR code” e “Phishing”. Semelhante ao phishing tradicional que utiliza e-mails ou mensagens para enganar, o Quishing emprega códigos QR para redirecionar indivíduos a sites mal-intencionados para capturar dados sensíveis.

O problema é tão real e crescente que levou o FBI a emitir um alerta em 2022.

Anatomia Técnica do Quishing:

Medidas de Defesa:

Teste de Conscientização sobre QR Codes na Empresa

Objetivo: Avaliar o nível de conscientização e resposta dos colaboradores perante a ameaça dos códigos QR maliciosos e identificar áreas de treinamento necessárias.

Etapas do Teste:

  1. Planejamento e Objetivos: Definir claramente os objetivos: medir a taxa de cliques, avaliar o tempo de resposta da equipe de segurança ou verificar a eficácia das recentes comunicações de treinamento. Delimite o público-alvo: Decida se o teste será para toda a organização ou segmentos específicos.
  2. Desenvolvimento dos Códigos QR de Teste: Crie códigos QR que redirecionem os colaboradores para um ambiente controlado e seguro. Esse ambiente pode imitar uma página de login ou solicitar algumas informações básicas.
  3. Distribuição e Posicionamento: Posicione os códigos QR em áreas estratégicas da empresa, simulando uma situação real. Estes podem estar próximos a máquinas de café, salas de reunião, banheiros e outros espaços comuns.
  4. Monitoramento e Coleta de Dados: Utilize ferramentas de rastreamento para monitorar a quantidade de escaneamentos e a interação na página de destino. Monitore em tempo real e identifique tendências ou departamentos que possam necessitar de treinamento adicional.
  5. Análise e Feedback: Após a conclusão do teste, compile os dados coletados. Determine a eficácia das medidas de segurança atuais e identifique áreas que requerem atenção. Comunique os resultados à organização de forma transparente e construtiva. Em vez de penalizar aqueles que “falharam”, use isto como uma oportunidade educativa.
  6. Ação Pós-teste: Desenvolva ou ajuste programas de treinamento com base nos resultados. Considere realizar esses testes regularmente para continuar avaliando a conscientização dos colaboradores e a eficácia das iniciativas de treinamento.
  7. Considerações Finais: Durante a execução deste teste, a comunicação é vital. Mantenha os stakeholders informados, evitando alarmes desnecessários. O objetivo é reforçar a segurança e promover a conscientização cibernética.

Na Cat Eye Cyber, estamos comprometidos em fornecer informações atualizadas e relevantes no campo da segurança cibernética. Mantenha-se atento aos nossos próximos posts educativos para aprofundar seus conhecimentos e fortalecer a segurança de sua organização. Seus desafios são nossos desafios. Juntos, podemos criar um ambiente digital mais seguro para todos.

← Voltar para o blog