Tentativas de phishing de código QR para roubar credenciais de usuários

Nos últimos meses, pesquisadores de segurança alertam para o aumento de campanhas de phishing que utilizam códigos QR como vetor principal para roubar credenciais de usuários. A técnica, conhecida como quishing (QR + phishing), explora a confiança que as pessoas depositam em códigos QR para direcioná-las a sites fraudulentos que imitam páginas legítimas de login.

Resumo: Criminosos cibernéticos estão distribuindo códigos QR falsos por e-mail, redes sociais e até mesmo impressos em locais públicos. Ao escanear o código, a vítima é levada a uma página de login falsa, onde suas credenciais são capturadas.

O que é phishing via código QR?

Phishing via código QR é uma variação do golpe de phishing tradicional. Em vez de enviar um link malicioso diretamente, o atacante gera um código QR que aponta para um site falso. Como os códigos QR são normalmente associados a ações legítimas (cardápios, pagamentos, autenticação), muitos usuários não desconfiam e escaneiam o código sem verificar o destino real.

Essa modalidade tem se tornado particularmente popular entre grupos de cibercrime porque os filtros de segurança de e-mail ou mensagens frequentemente não conseguem analisar o conteúdo do código QR — a imagem em si não contém texto suspeito. Apenas quando o usuário escaneia é que o perigo se revela.

Como funciona o ataque?

A maioria das campanhas segue um padrão simples, mas eficaz:

  1. Distribuição: o atacante envia um e-mail ou mensagem que contém um código QR. A mensagem geralmente usa pretextos urgentes: “confirme seu login”, “ative a autenticação de dois fatores” ou “atualize sua conta para evitar bloqueio”.
  2. Redirecionamento: a vítima escaneia o código com o celular e é levada a uma página que imita perfeitamente o serviço legítimo (bancos, Microsoft 365, Google, redes sociais).
  3. Captura: ao digitar seu e-mail e senha, as credenciais são enviadas para o atacante. Muitas vezes a página falsa também solicita código de verificação 2FA, permitindo sequestro imediato da conta.
  4. Exploração: de posse das credenciais, o criminoso pode acessar dados sensíveis, realizar transações financeiras ou usar a conta para novos ataques.

Exemplos comuns de iscas

  • E-mail falso de suporte técnico com um código QR para “verificar a conta”
  • Código QR impresso colado em totens de pagamento estacionamento ou máquinas de autoatendimento
  • QR codes em anúncios de redes sociais que prometem descontos ou brindes
  • Mensagens no WhatsApp ou Telegram com ofertas de empregos ou benefícios
  • Códigos QR em PDFs anexados a e-mails que simulam faturas ou boletos

Como identificar um código QR malicioso

Embora seja impossível saber apenas olhando para um código QR qual é o destino, alguns sinais de alerta podem ajudar:

  • O contexto da mensagem é suspeito: urgência, erros gramaticais, ofertas boas demais para ser verdade.
  • O remetente não é confiável: e-mail de domínio público com nome de empresa conhecida.
  • Antes de escanear, use um aplicativo que exibe a URL de destino. Muitos leitores de QR code mostram o link — se o domínio for estranho, não continue.
  • Códigos QR impressos em locais públicos podem ter sido sobrepostos por adesivos falsos. Sempre desconfie se o código estiver sobreposto a outro ou se o local tiver baixa segurança.

Como se proteger

Para evitar cair nesse tipo de golpe, adote estas práticas:

  • Sempre verifique o link antes de clicar: a maioria dos smartphones exibe uma prévia do endereço ao escanear.
  • Nunca forneça credenciais em páginas abertas a partir de um QR code. Prefira digitar o endereço manualmente no navegador.
  • Ative a autenticação multifator (MFA) sempre que possível. Isso dificulta o acesso mesmo que a senha seja roubada.
  • Desconfie de mensagens inesperadas que peçam ação imediata com QR code.
  • Mantenha o sistema operacional e os aplicativos atualizados para se proteger contra vulnerabilidades que podem ser exploradas.

O que fazer se você for vítima

Se você escaneou um código QR suspeito e digitou suas credenciais:

  1. Altere imediatamente a senha da conta comprometida e de todas as outras que usam a mesma senha.
  2. Ative a autenticação multifator se ainda não estiver ativa.
  3. Verifique a atividade recente da conta (logins, dispositivos autorizados, e-mails encaminhados).
  4. Notifique o suporte oficial do serviço afetado.
  5. Monitore suas contas bancárias e de crédito em busca de movimentos não autorizados.
  6. Reporte o ocorrido às autoridades competentes, como a Polícia Federal ou a Central de Phishing da 13SEC.

FAQ – Perguntas frequentes

É seguro escanear qualquer código QR?

Não. Códigos QR não são intrinsicamente seguros; eles podem apontar para qualquer URL. Sempre verifique a origem e o destino.

Como os criminosos distribuem códigos QR falsos?

Por e-mail, redes sociais, aplicativos de mensagem, impressão em locais públicos ou colagem sobre QR codes legítimos.

O antivírus consegue detectar QR codes maliciosos?

A maioria dos antivírus para dispositivos móveis inclui proteção contra phishing que pode bloquear o site falso após o clique, mas a prevenção ainda é a melhor defesa.

Phishing via QR code é mais perigoso que o tradicional?

Potencialmente sim, porque o código QR oculta o link real e muitos usuários têm menos vigilância ao escanear do que ao clicar em um link.

Dica final: Antes de escanear um código QR, pergunte-se: “Eu confio na fonte? Preciso mesmo acessar isso agora?”. Um momento de atenção pode evitar um grande prejuízo.

Continue acompanhando o 13SEC NEWS para mais artigos sobre phishing, ataques e defesa cibernética. Mantenha-se seguro!