20 ago Novo golpe usa QR Code para enganar sistemas de segurança
Pesquisadores da Barracuda Networks descreveram duas novas técnicas de phishing via QR Code — o chamado quishing — capazes de contornar detecções automáticas e aumentar a taxa de sucesso de campanhas maliciosas. A pesquisa foi publicada nesta quarta-feira (20) e conecta os golpes a operadores de kits phishing-as-a-service (PhaaS), como Gabagool e Tycoon.
De acordo com o estudo, os criminosos estão explorando duas abordagens complementares para enganar leitores de QR Code e ferramentas de segurança de e-mail. Entenda!
Quais foram as descobertas sobre o golpe do QR Code?
1) QR Code “fatiado” em duas imagens
Nessa modalidade, atribuída a operadores do PhaaS Gabagool, o QR Code malicioso é dividido em duas imagens separadas e anexadas ao e-mail de phishing. À primeira vista, cada parte é tratada como um elemento estático e “inofensivo”. Quando o alvo usa o leitor de QR Code, a composição visual reconstitui o código completo e redireciona a vítima para uma página de phishing criada para roubar credenciais de contas Microsoft.
A técnica consiste em separar o QR Code malicioso e adicioná-lo a um QR Code legítimo. (Fonte: Barracuda Networks/Reprodução)
2) QR malicioso embutido em um QR legítimo
Na técnica observada em campanhas do PhaaS Tycoon, golpistas inserem um QR Code malicioso dentro de um QR legítimo. No caso analisado, o código maior levava para a página fraudulenta, enquanto o QR interno apontava para o Google. O resultado é um conteúdo ambíguo que confunde a leitura e tende a passar sem ser bloqueado por filtros ou leitores de QR mais simples.
Na imagem, os QR Codes inseridos um sobre o outro. (Fonte: Barracuda Networks/Reprodução)
Por que isso funciona
O vetor QR Code vem ganhando tração em golpes porque reduz o atrito na interação com a vítima e, ao mesmo tempo, escapa de inspeções tradicionais voltadas para links clicáveis. Ao “quebrar” o QR em múltiplos elementos ou mesclá-lo a um código legítimo, os atacantes minimizam sinais de alerta que motores de detecção costumam usar para classificar anexos e imagens suspeitas.
As campanhas descritas pela Barracuda têm como destino páginas que imitam fluxos de login da Microsoft. O objetivo é capturar usuário e senha e, quando possível, tokens de sessão. Em ambientes corporativos, o comprometimento de uma única identidade pode abrir caminho para movimentação lateral, sequestro de e-mails e fraude financeira.
Como se proteger do “quishing”
A recomendação central dos pesquisadores é tratar QR Codes com a mesma desconfiança dedicada a links recebidos por e-mail, mensageria ou redes sociais. Em outras palavras, QR Code também é link — só que disfarçado como imagem.
Desconfie de QR Codes em e-mails não solicitados, especialmente os que pedem login, atualização de senha ou verificação de identidade.Prefira digitar o endereço manualmente no navegador em vez de escanear códigos que prometem “acesso rápido”.Verifique a URL de destino após o scan: domínios estranhos, erros de grafia e páginas sem HTTPS são sinais de alerta.Ative e exija autenticação multifatorial (MFA) nas contas — de preferência com app autenticador ou chave física.Use senhas fortes e únicas para cada serviço, de preferência com um gerenciador de senhas.Eduque usuários e equipes sobre “quishing” e outras iscas visuais, incluindo QR em crachás, cartazes e embalagens.Reforce a segurança de e-mail com soluções que inspecionem imagens e identifiquem padrões de PhaaS.
O uso de quishing por serviços PhaaS como Gabagool e Tycoon reforça uma tendência: industrialização do phishing, com kits que facilitam a adoção de truques gráficos e rotas de desvio de filtros. Para usuários e empresas, o recado é direto — políticas de identidade mais rígidas, verificação de domínio e treinamento contínuo continuam sendo o melhor antídoto.
Para não perder análises e alertas sobre novas técnicas de phishing e golpes com QR Code, siga o TecMundo no X/Twitter, Instagram, TikTok, YouTube e Facebook. Envie suas sugestões de pauta e relatos nas nossas redes sociais.