O que é QR Phishing? Como detetar e evitar fraudes com códigos QR

Quishingou código QR phishingé a mais recente na longa linha de ameaças à cibersegurança. Por mais ridículo que pareça, é útil estar ciente disso, pois pode evitar a perda de dinheiro, tempo e a reputação da sua empresa.

Os códigos QR estão em todo o lado: em menus, cartazes de rua, aplicações e sítios Web de empresas. São populares porque os utilizadores podem utilizar a sua câmara para digitalizar o código QR como se fosse uma hiperligação para aceder a um sítio Web. 

Se algo é fácil para os utilizadores, também é fácil para os cibercriminosos explorarem. Estas partes maliciosas utilizam códigos QR para encaminhar os utilizadores para um sítio Web diferente daquele para onde pensam que vão, abrindo os seus dados pessoais aos hackers. 

Este artigo explica como os cibercriminosos exploram os códigos QR para executar ataques de phishing. Abrange tácticas comuns, exemplos do mundo real, estratégias de prevenção e melhores práticas de cibersegurança.

O que é QR Phishing (Quishing)?

O phishing QR (Quishing) é quando os hackers utilizam códigos QR para redirecionar os utilizadores para sítios maliciosos ou fraudulentos em vez do sítio para onde o utilizador pensa que vai quando digitaliza o código. Os sítios para onde o utilizador é redireccionado são sítios que as partes maliciosas utilizam para roubar informações dos utilizadores, como credenciais e dados bancários, ou para instalar software malicioso para roubar outras informações. 

Os ataques de quishing são mais difíceis de detetar do que os ataques de phishing tradicionais, porque a cópia de códigos QR para conteúdo malicioso é mais complexa do que a leitura de URLs tradicionais. Por isso, é mais difícil apanhar os quishers do que os phishers. 

Como funcionam os ataques de phishing QR

Saber exatamente como funciona o QR phishing ajuda-o a compreender como combatê-lo e a manter os seus clientes seguros. Primeiro, vamos ver uma análise passo-a-passo do Quishing e, em seguida, cenários de ataque comuns para que saiba o que deve ter em atenção.

Análise passo-a-passo dos ataques de phishing QR

Vamos examinar exatamente como funciona o Quishing.

As etapas do Quishing incluem:

1. Criação de códigos QR maliciosos: Os piratas informáticos criam códigos QR maliciosos que contêm ligações para sítios Web fraudulentos que darão vantagens aos piratas informáticos em vez dos criadores originais de QR. 
2. Colocação em e-mails, cartazes, sítios Web e mensagens: Os burlões QR distribuem os seus códigos QR e colocam-nos sobre os códigos originais, para que as vítimas não tenham ideia de que estão a ler um código fraudulento. 
3. A vítima faz a leitura e é redireccionada para um site de phishing ou para o descarregamento de malware: Quando as vítimas fazem isto, é-lhes impossível perceber que um código QR é falso, porque não existem caraterísticas de identificação que os distingam dos originais. 

Cenários comuns de ataques de quishing

Muitos cenários de ataque ocorrem quando os burlões QR montam armadilhas virtuais para as vítimas utilizando códigos QR. 

Alguns dos cenários mais comuns de ataques de Quishing incluem:

• Páginas de início de sessão falsas (por exemplo, portais bancários, de correio eletrónico ou de empresas): Os burlões criam frequentemente páginas de início de sessão que parecem quase idênticas às originais de sítios Web que contêm clientes com informações sensíveis que os piratas informáticos pretendem, como bancos ou portais de empresas.
• Inquéritos falsos aos clientes com incentivos: Toda a gente quer ganhar dinheiro fácil preenchendo um inquérito rápido, e os burlões exploram este desejo para roubar informações. As vítimas cedem à sua necessidade de ganhar dinheiro ao preencherem os seus dados, que os piratas informáticos recebem em vez de empresas legítimas.
• Códigos QR em facturas falsas de estacionamento ou de pagamento: Alguma vez recebeu um aviso de estacionamento ou uma fatura? Muitas pessoas já tiveram, e estes falsos códigos QR aproveitam-se da urgência que as pessoas sentem em pagar facturas ou multas de estacionamento para evitar penalizações ou mesmo penas de prisão. A urgência leva à exploração por parte dos falsários, que recebem dados bancários que utilizam para roubar dinheiro.
• Códigos QR falsos em aplicações empresariais: As empresas não estão imunes às burlas QR. As partes maliciosas podem colocar o seu próprio código QR falso sobre um código legítimo, por exemplo, numa aplicação de CRM ou de aplicação de relógio de ponto para um dispositivo móvel. Os burlões têm os dados dos empregados e possivelmente acesso aos dados da empresa.

Porque é que o QR Phishing é perigoso

O phishing QR parece apanhar algumas pessoas desprevenidas, mas será assim tão perigoso? A resposta curta é sim. 

O quishing pode custar às vítimas milhões de dólares por ano porque é difícil de detetar. As pessoas confiam nos códigos QR, os dispositivos móveis têm uma segurança mais fraca e os piratas informáticos têm facilidade em passar pelos filtros de segurança de correio eletrónico tradicionais, que não têm o perfil de conceção necessário para proteger contra esta geração de piratas informáticos. 

O custo da cibercriminalidade a nível mundial atingiu 9,22 biliões de dólares e é provável que aumente devido à introdução de novos crimes informáticos como o sQuishing. Atualmente, está a custar enormes quantias de dinheiro às empresas e aos clientes, pelo que vale a pena tomar medidas para evitar que isso aconteça.

Um exemplo real de um ataque de phishing QR

Uma coisa é aprender sobre os ataques de Quishing, mas só se percebe realmente quando se ouve falar da forma como afectaram empresas e comunidades com exemplos do mundo real. O primeiro desses exemplos é o de um infeliz indivíduo que perdeu 17.000 dólares.

A vítima perde 13 mil libras com golpistas de QR

Em novembro de 2023, uma infeliz senhora de 71 anos de Newcastle, em Inglaterra, foi vítima de uma burla de código QR, que resultou numa enorme perda de $17,000. A parte maliciosa consegue a sua fraude colocando o código QR falso sobre o código oficial num sinal de estacionamento.

No início, parecia que o dinheiro da senhora estava seguro, porque quando introduziu os seus dados bancários no sítio Web fraudulento, o seu banco impediu a transação. Infelizmente, os burlões utilizaram outra técnica: fingiram ser funcionários do banco e conseguiram incentivá-la a contrair um empréstimo de 9.500 dólares. A pessoa mal-intencionada agiu rapidamente, alterando os seus dados bancários, obtendo novos cartões e criando uma conta online. 

O resultado do governo local foi a remoção de todos os códigos QR de todos os parques de estacionamento da TransPennine Express.

Estes incidentes podem afetar os indivíduos durante muitos anos após a sua ocorrência, uma vez que é um enorme desafio recuperar poupanças na ordem dos milhares, como se pode ver no exemplo acima. 

Como se proteger contra o phishing QR

Os esquemas de phishing QR são furtivos e difíceis de detetar. A boa notícia? Ainda é possível evitá-los. 

Siga estas práticas recomendadas e medidas de segurança técnica para o proteger a si e à sua organização contra ataques de phishing QR:

Sensibilização dos utilizadores e boas práticas

Em primeiro lugar, deve verificar sempre as fontes dos códigos QR. Pode utilizar uma aplicação especial para o fazer, mas os burlões dos códigos QR são sorrateiros, por isso, certifique-se de que a aplicação de verificação de códigos QR é verdadeira antes de a instalar e utilizar, porque os burlões também podem criar aplicações falsas para aceder aos seus dados. 

Em seguida, utilize aplicações que leiam códigos QR antes de abrir ligações. Esta prática recomendada impede-o de abrir hiperligações quando não tem a certeza do caminho que está a seguir. 

E, por último, se tiver dúvidas sobre uma fonte, não digitalize um código QR e verifique-o antes de o digitalizar. 

Medidas técnicas de segurança

Se é uma organização, e especialmente uma empresa, tem muito mais a perder do que a maioria dos indivíduos, tais como dados de funcionários dados de funcionários, milhões de dólares e danos irreparáveis à reputação da sua empresa.

Implemente a autenticação multifactor (MFA) para iniciar sessão para evitar ataques de phishing de QR. Este método envolve o envio de um código para o telemóvel do utilizador sempre que este pretende iniciar sessão, impedindo os burlões de códigos QR com outra camada de segurança.

A sua segunda abordagem deve ser a utilização de soluções de cibersegurança com funcionalidades para detetar esquemas de phishing QR. Esta funcionalidade mantê-lo-á a salvo desta ameaça. 

Por último, ofereça formação que ajude os funcionários a conhecer as ameaças de engenharia social, como os esquemas de phishing QR, para que possam detectá-las e evitá-las eficazmente. 

Nota final

O phishing QR é perigoso porque pode custar dinheiro aos indivíduos, causar danos aos dados e prejudicar a reputação da organização. 

É difícil descobrir os esquemas de phishing QR em comparação com os esquemas de phishing tradicionais, porque os códigos QR são mais complexos e mais difíceis de verificar a sua legitimidade. Felizmente, algumas medidas podem mantê-lo seguro, como aplicações de pré-digitalização de QR, autenticação multi-fator e formação de funcionários sobre ameaças de engenharia social para reduzir estes ataques.

Se seguir estas medidas e práticas, pode evitar a maioria das ameaças de phishing QR e proteger os seus empregados e a si próprio de perderem dinheiro.

• Sobre
• Últimos Posts

Ahona Rudra

Especialista em segurança de domínios e e-mails da PowerDMARC

Ahona é gerente de marketing da PowerDMARC, com mais de 5 anos de experiência em escrever sobre tópicos de segurança cibernética, especializada em segurança de domínio e e-mail. Ahona possui uma pós-graduação em Jornalismo e Comunicação, solidificando sua carreira no setor de segurança desde 2019.

Últimos posts de Ahona Rudra (ver todos)

• O que é QR Phishing? Como detetar e prevenir fraudes com códigos QR - 15 de abril de 2025
• Como verificar registros SPF usando nslookup, dig ou PowerShell? - 3 de abril de 2025
• O Outlook aplica o DMARC: Explicação dos novos requisitos de remetente da Microsoft! - 3 de abril, 2025