Proteja os 13 componentes críticos do Entra ID com o Barracuda Entra ID Backup Premium.

O que é phishing por QR (quishing)?

Índice

QR phishing, também conhecido como phishing de código QR ou “quishing”, é uma evolução dos ataques de phishing, e refere-se a um ataque onde cibercriminosos incorporam códigos QR maliciosos em e-mails ou anexos. Quando o código QR é digitalizado, as vítimas são redirecionadas para sites falsos que parecem legítimos, e quando um utilizador faz login, as suas credenciais são roubadas, levando a compromissos em cascata de dados sensíveis e eventual roubo.

Os ataques de quishing são eficazes porque os códigos QR contornam as medidas tradicionais de segurança de e-mail e exploram a confiança dos utilizadores. Por ser um tipo de ataque mais recente, os utilizadores estão geralmente menos conscientes das ameaças de códigos QR do que de links suspeitos, o que os torna mais propensos a digitalizar sem considerar potenciais problemas de segurança.

Num relatório divulgado pela Barracuda, foi revelado que os investigadores analisaram cerca de 670 milhões de e-mails, onde descobriram algumas tendências preocupantes. 83% dos documentos maliciosos do Microsoft 365 e 68% dos PDFs maliciosos agora contêm códigos QR que levam a sites de phishing. O quishing tornou-se um método importante que os atacantes usam para embalar as suas ameaças.

Como funciona o quishing

Os ataques de quishing são surpreendentemente simples, mas eficazes. Os cibercriminosos imitam empresas bem conhecidas como a Microsoft e a Adobe, usando o reconhecimento da marca para ganhar a confiança do destinatário. Mas não fica por aí — até mesmo departamentos internos das empresas, como recursos humanos ou contabilidade, são alvo. O tom destes e-mails é geralmente urgente; uma senha precisa ser redefinida, o departamento de recursos humanos precisa que atualize as suas informações — qualquer coisa que o leve a agir rapidamente sem pensar duas vezes.

O QR code malicioso está embutido diretamente no corpo do e-mail ou, como se está a tornar mais comum, num documento PDF em anexo. A utilização de ficheiros PDF é estratégica em múltiplos níveis, porque os PDFs são um formato de ficheiro de confiança num ambiente empresarial, tornando os utilizadores menos receosos em abrir o anexo.

Os códigos QR acedidos por utilizadores móveis têm menos probabilidade de enfrentar resistência dos firewalls corporativos, porque há uma maior probabilidade de o dispositivo estar fora do local quando o código QR é digitalizado. Um ataque tem uma chance muito maior de sucesso quando o site malicioso é visitado a partir de um dispositivo pessoal ou fora da rede corporativa, onde não existem controlos de segurança para bloquear o acesso.

Assim que as credenciais são inseridas e o utilizador tenta iniciar sessão, os seus dados de início de sessão são imediatamente capturados por atores de ameaça. Estas credenciais roubadas são então utilizadas em ataques subsequentes, onde o utilizador reutilizou o mesmo endereço de e-mail e palavra-passe em sites diferentes, permitindo ao atacante assumir o controlo de contas, comprometer e-mails empresariais ou começar a mover-se lateralmente através dos sistemas da organização.

O quishing não está a abrandar e está a tornar-se uma das técnicas de campanhas de phishing que mais cresce entre os cibercriminosos atualmente.

Riscos e impacto do quishing

Roubo de credenciais e apropriações de conta (ATOs) são os objetivos iniciais de um ataque de quishing. Com uma conta de funcionário comprometida, os atacantes obtêm acesso à organização e usam-na como uma área de preparação para ataques mais sérios.

Os ATOs tornaram-se um tipo de incidente surpreendentemente comum. Um estudo da Barracuda mostra que 22% das empresas sofreram um incidente de apropriação de conta nos últimos 12 meses. Quando um atacante tem acesso a uma conta, tem a oportunidade de começar a estudar e-mails, identificando alvos desejáveis, como partes interessadas e pessoal sénior. A partir daí, podem começar a lançar ataques de spear-phishing convincentes contra outros funcionários, uma vez descobertos alvos adequados. Ataques como este são eficazes porque os e-mails parecem vir de um funcionário dentro da empresa, aproveitando-se da confiança dos funcionários, o que leva a mais credenciais roubadas.

Setores empresariais como finanças, saúde e educação estão em maior risco devido aos dados sensíveis com que trabalham. Se registos médicos privados forem roubados, podem haver investigações prolongadas, multas e até sanções regulatórias. As instituições financeiras correm o risco de transferências bancárias não autorizadas serem iniciadas através de contas comprometidas, levando a perdas financeiras e danos reputacionais.

Quando um ataque de quishing é bem-sucedido, as equipas de TI e segurança têm de testar os sistemas e auditar os dados para verificar o acesso não autorizado. A investigação sobre a violação para encontrar quaisquer contas comprometidas adicionais não é uma tarefa pequena e pode levar a uma perda de produtividade e horas de trabalho perdidas, à medida que os recursos são desviados para a limpeza.

Por que o quishing está a aumentar

Existem vários fatores que tornaram a praga do quishing mais prevalente do que nunca, sendo o mais óbvio a aceitação e adoção de códigos QR. Os códigos QR são aparentemente usados em todo o lado, desde publicidade a cartazes informativos, tornando-se quase uma segunda natureza para as pessoas escaneá-los. Os atacantes notaram esta mudança de comportamento e foram rápidos a explorá-la.

O sucesso do Quishing depende da sua capacidade de evitar a deteção. A maioria dos gateways de e-mail seguros (SEGs) estão configurados para analisar apenas texto, links e anexos. Os códigos QR são imagens sem esses atributos, o que cria um ponto cego. Isto permite que os códigos QR passem pelos filtros de e-mail despercebidos, chegando às caixas de entrada dos utilizadores desavisados.

Alguns fornecedores de soluções de segurança começaram a recuperar o atraso e a implementar funcionalidades de digitalização de códigos QR, o que forçou os atores da ameaça a adaptarem a sua abordagem. Os atacantes agora utilizam técnicas sofisticadas como códigos QR divididos, onde fragmentos de código malicioso são incorporados em várias imagens. Isto ajuda-os a evitar a deteção por ferramentas de segurança, mas ainda podem ser digitalizados por vítimas desavisadas que serão então direcionadas para um site malicioso.

Os códigos QR aninhados utilizam uma técnica diferente. Ao sobrepor vários códigos QR numa única imagem, os cibercriminosos conseguem enganar alguns scanners de e-mail ao colocar um URL legítimo no centro do código QR, com o código malicioso envolto na borda da imagem. Quando um utilizador digitaliza o código QR com o seu telemóvel, o URL malicioso é ativado, direcionando o utilizador para um website de phishing.

O quishing tem muito mais probabilidade de ter sucesso em organizações onde não se dedica muito tempo a educar os utilizadores sobre os perigos potenciais de digitalizar códigos QR não verificados. A formação em segurança e as políticas precisam de ser atualizadas se se pretende travar a popularidade do quishing. Os utilizadores não treinados são o elo mais fraco na cadeia, e se a tendência do quishing vai ser atenuada, então as políticas de segurança precisam de adotar uma abordagem de formação proativa para educar os utilizadores.

Exemplos de ataques de quishing

Campanhas de quishing no mundo real mostram quão eficazes são ao explorar a confiança e pressionar os utilizadores com urgência. Abaixo estão alguns exemplos de ataques de quishing que foram destacados no Relatório de Ameaças de E-mail da Barracuda 2025.

Imitação da Microsoft

Não é surpresa que a marca da Microsoft seja frequentemente utilizada como parte de ataques de quishing, com os serviços Microsoft 365 a serem a identidade falsificada principal em cerca de 51% de todos os ataques analisados pela Barracuda. Estes e-mails muitas vezes instam os utilizadores a verificar as suas contas ou a redefinir as suas palavras-passe ao digitalizar um código QR que está incorporado num documento PDF. O link redireciona para um site falso onde as credenciais dos utilizadores são roubadas para ataques de Apropriação de Conta (ATO) uma vez que são utilizadas para iniciar sessão no site.

esquemas de extorsão sexual com Bitcoin

Estes tipos de esquemas apareceram em cerca de 12% dos PDFs maliciosos na pesquisa da Barracuda. Um esquema de extorsão sexual é um e-mail ameaçador enviado por atacantes que afirmam ter informações altamente pessoais e comprometedoras sobre um utilizador, ameaçando divulgá-las a menos que um pagamento seja feito, geralmente em Bitcoin. O código QR é enviado como anexo para o utilizador digitalizar, a fim de pagar este resgate.

Imitação de folha de pagamento de RH

Cibercriminosos fingem ser o departamento de RH ou de folha de pagamento e enviam e-mails que instam os funcionários a atualizar os seus dados pessoais, como detalhes bancários da folha de pagamento ou outras informações financeiramente relevantes. O código QR leva o utilizador a um site falso que imita um portal interno. Se o código QR for acedido através de um dispositivo móvel quando o utilizador não está conectado à rede corporativa, as hipóteses de sucesso são muito maiores, uma vez que não há verificações de segurança para interromper a conexão. Quando o utilizador tenta fazer login com as suas credenciais, os atacantes armazenam o nome de utilizador e a palavra-passe para obter acesso à rede da organização. A partir daí, podem ser montados outros ataques, permitindo que os cibercriminosos se infiltrem na rede.

Técnicas avançadas de evasão

Plataformas de Phishing as a Service (PhaaS) como o kit Gabagool PhaaS utilizam códigos QR divididos para derrotar scanners de e-mail, tornando os códigos QR de quishing difíceis de intercetar. A plataforma Tycoon 2FA utiliza códigos QR aninhados — códigos QR legítimos com conteúdo malicioso incorporado à volta ou dentro deles. Esta técnica também confunde os scanners de correio e, por vezes, permite que estas cargas maliciosas cheguem à caixa de entrada de um utilizador.

Como prevenir ataques de quishing

Contrariar os ataques de quishing requer uma defesa em várias frentes. A formação de sensibilização do utilizador, a segurança avançada dos sistemas e a melhoria das políticas têm de funcionar em conjunto para parar esta ameaça crescente.

  • Ferramentas avançadas de segurança de e-mail: Use plataformas de segurança de e-mail modernas que empregam IA para digitalizar e renderizar códigos QR, analisando os seus conteúdos em ambientes seguros para detectar links maliciosos antes de chegarem aos utilizadores.
  • Formação de utilizadores e formação de sensibilização sobre segurança: Os utilizadores devem ser formados para identificar sinais de alerta de quishing e ter canais de reporte claramente definidos para e-mails suspeitos que contenham códigos QR.
  • Protocolos de autenticação de e-mail: Melhore falsificação de e-mail defesas com DKIM, SPF e DMARC para verificar identidades de remetentes e bloquear o uso suspeito de domínios.
  • Autenticação multifator (MFA): Reforce as defesas com MFA para prevenir apropriações de conta. Mesmo com credenciais roubadas, os atacantes precisam de acesso a um segundo fator de autenticação para prosseguir com a autorização de login.
  • Processos de verificação: Os colaboradores devem ser obrigados a verificar pedidos suspeitos através de um canal alternativo antes de digitalizar códigos QR, especialmente se envolverem informações financeiras ou dados sensíveis da empresa.
  • Monitorização contínua e resposta a incidentes: Implementar resposta a incidentes equipas e sistemas para ajudar a detectar indicadores de compromisso (IOC), com protocolos em vigor para bloquear automaticamente contas, emitir pedidos de redefinição de senha e terminar sessões para logins suspeitos.

Mantenha-se protegido com a Barracuda Email Protection

Quishing é um problema grave que está a ganhar força — mas é apenas uma das muitas ameaças em evolução que estão atualmente a assolar a segurança de e-mail. À medida que os criminosos continuam a desenvolver novas técnicas que contornam as defesas tradicionais, as organizações precisam de utilizar soluções de segurança em desenvolvimento ativo que possam acompanhar.

A proteção de e-mail da Barracuda utiliza deteção de ameaças potenciada por IA e monitorização em tempo real para proteger contra quishing e outros ataques sofisticados. Utiliza IA multimodal que analisa o conteúdo de e-mail, anexos e objetos incorporados (incluindo códigos QR) para identificar ameaças que os filtros legados não detetam.

Descarregue o Relatório de Ameaças de E-mail 2025 para obter informações mais detalhadas sobre o panorama atual de ameaças, ou inicie uma avaliação gratuita para ver como a Barracuda Email Protection pode defender a sua organização contra ataques de quishing.

Ligue para +1 617 948 5300
Contacte o Departamento de Vendas

Obtenha ajuda da Barracuda

Informações da empresa

Produtos e Soluções

Contacte-nos

Our Websites

Legal

© 2003 – 2026 Barracuda Networks, Inc. Todos os direitos reservados.