Tentativas de phishing de código QR para roubar credenciais de usuários
Nos últimos meses, pesquisadores de segurança alertam para o aumento de campanhas de phishing que utilizam códigos QR como vetor principal para roubar credenciais de usuários. A técnica, conhecida como quishing (QR + phishing), explora a confiança que as pessoas depositam em códigos QR para direcioná-las a sites fraudulentos que imitam páginas legítimas de login.
O que é phishing via código QR?
Phishing via código QR é uma variação do golpe de phishing tradicional. Em vez de enviar um link malicioso diretamente, o atacante gera um código QR que aponta para um site falso. Como os códigos QR são normalmente associados a ações legítimas (cardápios, pagamentos, autenticação), muitos usuários não desconfiam e escaneiam o código sem verificar o destino real.
Essa modalidade tem se tornado particularmente popular entre grupos de cibercrime porque os filtros de segurança de e-mail ou mensagens frequentemente não conseguem analisar o conteúdo do código QR — a imagem em si não contém texto suspeito. Apenas quando o usuário escaneia é que o perigo se revela.
Como funciona o ataque?
A maioria das campanhas segue um padrão simples, mas eficaz:
- Distribuição: o atacante envia um e-mail ou mensagem que contém um código QR. A mensagem geralmente usa pretextos urgentes: “confirme seu login”, “ative a autenticação de dois fatores” ou “atualize sua conta para evitar bloqueio”.
- Redirecionamento: a vítima escaneia o código com o celular e é levada a uma página que imita perfeitamente o serviço legítimo (bancos, Microsoft 365, Google, redes sociais).
- Captura: ao digitar seu e-mail e senha, as credenciais são enviadas para o atacante. Muitas vezes a página falsa também solicita código de verificação 2FA, permitindo sequestro imediato da conta.
- Exploração: de posse das credenciais, o criminoso pode acessar dados sensíveis, realizar transações financeiras ou usar a conta para novos ataques.
Exemplos comuns de iscas
- E-mail falso de suporte técnico com um código QR para “verificar a conta”
- Código QR impresso colado em totens de pagamento estacionamento ou máquinas de autoatendimento
- QR codes em anúncios de redes sociais que prometem descontos ou brindes
- Mensagens no WhatsApp ou Telegram com ofertas de empregos ou benefícios
- Códigos QR em PDFs anexados a e-mails que simulam faturas ou boletos
Como identificar um código QR malicioso
Embora seja impossível saber apenas olhando para um código QR qual é o destino, alguns sinais de alerta podem ajudar:
- O contexto da mensagem é suspeito: urgência, erros gramaticais, ofertas boas demais para ser verdade.
- O remetente não é confiável: e-mail de domínio público com nome de empresa conhecida.
- Antes de escanear, use um aplicativo que exibe a URL de destino. Muitos leitores de QR code mostram o link — se o domínio for estranho, não continue.
- Códigos QR impressos em locais públicos podem ter sido sobrepostos por adesivos falsos. Sempre desconfie se o código estiver sobreposto a outro ou se o local tiver baixa segurança.
Como se proteger
Para evitar cair nesse tipo de golpe, adote estas práticas:
- Sempre verifique o link antes de clicar: a maioria dos smartphones exibe uma prévia do endereço ao escanear.
- Nunca forneça credenciais em páginas abertas a partir de um QR code. Prefira digitar o endereço manualmente no navegador.
- Ative a autenticação multifator (MFA) sempre que possível. Isso dificulta o acesso mesmo que a senha seja roubada.
- Desconfie de mensagens inesperadas que peçam ação imediata com QR code.
- Mantenha o sistema operacional e os aplicativos atualizados para se proteger contra vulnerabilidades que podem ser exploradas.
O que fazer se você for vítima
Se você escaneou um código QR suspeito e digitou suas credenciais:
- Altere imediatamente a senha da conta comprometida e de todas as outras que usam a mesma senha.
- Ative a autenticação multifator se ainda não estiver ativa.
- Verifique a atividade recente da conta (logins, dispositivos autorizados, e-mails encaminhados).
- Notifique o suporte oficial do serviço afetado.
- Monitore suas contas bancárias e de crédito em busca de movimentos não autorizados.
- Reporte o ocorrido às autoridades competentes, como a Polícia Federal ou a Central de Phishing da 13SEC.
FAQ – Perguntas frequentes
É seguro escanear qualquer código QR?
Não. Códigos QR não são intrinsicamente seguros; eles podem apontar para qualquer URL. Sempre verifique a origem e o destino.
Como os criminosos distribuem códigos QR falsos?
Por e-mail, redes sociais, aplicativos de mensagem, impressão em locais públicos ou colagem sobre QR codes legítimos.
O antivírus consegue detectar QR codes maliciosos?
A maioria dos antivírus para dispositivos móveis inclui proteção contra phishing que pode bloquear o site falso após o clique, mas a prevenção ainda é a melhor defesa.
Phishing via QR code é mais perigoso que o tradicional?
Potencialmente sim, porque o código QR oculta o link real e muitos usuários têm menos vigilância ao escanear do que ao clicar em um link.
Continue acompanhando o 13SEC NEWS para mais artigos sobre phishing, ataques e defesa cibernética. Mantenha-se seguro!