A Check Point Software alerta para a ameaça que os esquemas de falsa vacinação e certificação de testes negativos representam para o sucesso do programa do Reino Unido e da União Europeia relativo aos passaportes COVID-19. De acordo com a empresa de cibersegurança, é necessário tomar medidas para combater a contrafeição que impera em fóruns de hacking, com a Dark Net e até em apps oficiais, como o Telegram.

O acordo da União Europeia, que entra em vigor a 7 de junho, com lançamento previsto para dia 1 de julho, fornecerá um certificado grátis em forma de QR Code para smartphone ou em papel, que servirá de prova de como a pessoa está vacinada, imunizada por ter tido o vírus recentemente ou apresenta um resultado negativo de um teste PCR. Viajantes do Reino Unido que já receberam as duas doses da vacina poderão utilizar a app do NHS como passaporte de vacina e é esperado que integrem o programa da União Europeia como país terceiro.

Há outros países que pretendem lançar os seus próprios passaportes COVID, como a República Checa, França e Alemanha. Sem uma abordagem global que garanta a verificação e validação destes certificados, as regras fragmentadas e ambíguas jogarão a favor dos hackers e cibercriminosos, alertam os investigadores da Check Point Research.

A Check Point Research avança que o número de revendedores de certificados forjados aumentou 500% entre março e maio, demonstrando que a procura por soluções que escapem à fiscalização é alta e tende a aumentar à medida que nos aproximamos da época das férias de Verão. Os clientes deste tipo de ofertas podem incluir desde pessoas que testaram positivo a pessoas que se recusam a fazer o teste ou a tomar a vacina, não esquecendo os utilizadores que, por desconhecimento, vão parar a domínios fraudulentos, acabando por concretizar a compra pensando que é legítima.

A Check Point relembra a importância de utilizar apenas aplicações provindas de fornecedores oficiais. Os viajantes devem estar especialmente atentos a erros ortográficos presentes nos domínios ou websites. Também os próprios QR Codes podem servir como "porta de entrada" para a informação armazenada no dispositivo. Os hackers substituem o código legítimo por um que implemente um URL malicioso ou que resulte no download de malware personalizado aquando da digitalização. Depois, através do código malicioso, poderão ser roubadas credenciais de login utilizadas noutras aplicações do telefone, como apps bancárias ou de retalho, e até fazer pagamentos.

“O nosso apelo é para que os governos ajam em conjunto e rapidamente no sentido de combater o número crescente de vendas de certificados falsos, tanto no Telegram como na Dark Net. Sem um sistema central, será muito mais fácil para os hackers passar entre os pingos da chuva,” sublinha Rui Duro, Country Manager da Check Point Software em Portugal.

“Também os próprios indivíduos devem estar relembrados que o QR code não é nada mais do que uma forma rápida e conveniente de aceder a um link; um link que muitas vezes lhes passa ao lado. Assim sendo, não é possível saber com certeza que o recurso é legítimo e o ataque pode ter-se iniciado. A União Europeia diz que os seus passaportes de vacinação serão seguros, mas os hackers tentarão sempre explorar novas oportunidades. Nós aconselhamos vivamente a utilização de soluções de segurança móvel que proteja os dispositivos e respetivos dados contra phishing, apps maliciosas e malware”, afirma o responsável.