Quishing: o que é o phishing por QR Code e como funciona

O que é quishing

O quishing é uma variação do phishing tradicional em que o link malicioso é substituído por um QR Code. Em vez de induzir a vítima a clicar em uma URL diretamente no e-mail, o criminoso apresenta um código para ser escaneado pelo celular, e é nesse momento que o usuário é levado para o ambiente malicioso.

Ao acessar a página, a vítima pode se deparar com formulários falsos para coleta de credenciais, réplicas convincentes de plataformas como Microsoft 365 ou Google Workspace, páginas de pagamento fraudulentas ou downloads que instalam malware no dispositivo.

A eficácia do ataque depende de um detalhe importante: como o endereço malicioso não aparece em nenhum lugar visível do e-mail, boa parte dos usuários interpreta a mensagem como legítima. Afinal, não há link suspeito para checar.

Por que os filtros tradicionais falham contra o quishing

Os mecanismos convencionais de segurança de e-mail foram desenvolvidos para identificar padrões reconhecíveis: URLs maliciosas, domínios suspeitos, reputação de remetentes, anexos com comportamento anômalo.

O problema é que um QR Code não aciona nenhum desses gatilhos.

Do ponto de vista do filtro, a mensagem chega dentro do padrão esperado. Ou seja, autenticação válida, sem links rastreáveis no corpo do e-mail, sem anexos executáveis. O endereço malicioso só existe fora do e-mail, codificado visualmente dentro da imagem.

Para detectá-lo, a solução precisaria identificar o QR Code, decodificá-lo e analisar a URL resultante em tempo real, o que vai muito além do que os filtros tradicionais conseguem fazer.

Há ainda um agravante operacional: o escaneamento acontece no celular do funcionário, muitas vezes um dispositivo pessoal fora do ambiente monitorado pela empresa. Isso significa que, mesmo quando a empresa tem controles robustos na rede corporativa, parte da ação do ataque ocorre em um ponto cego.

O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) divulga estatísticas de páginas falsas utilizadas em tentativas de phishing no país, incluindo aquelas voltadas especificamente para roubo de credenciais corporativas, acessos remotos e serviços de nuvem. O volume constante de notificações registradas reforça que o phishing segue como um dos principais vetores de ataque contra empresas brasileiras.

Como um ataque de quishing se desenvolve na prática

Apesar de variar em detalhes, os ataques de quishing costumam seguir um fluxo bastante consistente.

1. O e-mail chega com aparência legítima

A mensagem utiliza identidade visual corporativa, linguagem profissional e temas que criam um senso de urgência. Os criminosos frequentemente simulam provedores de e-mail, bancos, fornecedores, plataformas de RH ou ferramentas de colaboração.

Frases como “sua conta será bloqueada”, “documento pendente de assinatura” ou “ação necessária” são recursos comuns para pressionar a vítima a agir sem questionar.

2. O QR Code é apresentado como a ação necessária

O usuário é orientado a escanear o código para validar acesso, renovar senha, confirmar autenticação multifator, abrir um documento ou acessar um portal corporativo. O objetivo é fazer com que a ação pareça parte de um processo rotineiro, algo que qualquer colaborador faria sem suspeitar.

3. O código direciona para um ambiente malicioso

A página de destino costuma ser uma réplica visual convincente de um serviço legítimo, reproduzindo logos, interfaces e layouts para dificultar a identificação do golpe. Em alguns casos, o simples acesso à URL já é suficiente para executar um código malicioso no dispositivo.

4. O atacante obtém o que precisa

Dependendo da campanha, o objetivo pode ser roubo de credenciais corporativas, comprometimento de contas Microsoft 365, fraude financeira via Business Email Compromise (BEC), instalação de malware ou acesso inicial para um ataque de ransomware.

De acordo com o relatório anual do Internet Crime Complaint Center (IC3), do FBI, fraudes baseadas em e-mail corporativo seguem entre as principais causas de prejuízo financeiro reportadas por empresas em todo o mundo.

Quais empresas são mais visadas

Embora qualquer organização possa ser alvo, alguns ambientes costumam atrair mais a atenção dos criminosos.

• Empresas que operam no Microsoft 365 são alvo frequente porque a plataforma centraliza e-mail, arquivos, Teams e identidade corporativa. Ou seja, uma única credencial comprometida pode abrir muitas portas.
• O setor financeiro é visado pela rotina de pagamentos e aprovações rápidas que facilita campanhas com QR Codes.
• Departamentos de RH, por lidarem com grande volume de contatos externos, também são pontos vulneráveis.
• Ambientes com trabalho híbrido ou remoto ampliam a superfície de ataque justamente pela dependência de autenticação digital e acesso fora da rede corporativa.

O Relatório de Investigações de Violações de Dados da Verizon (DBIR) aponta consistentemente o fator humano como o principal elemento presente em incidentes de segurança, e o quishing é projetado para explorar exatamente esse ponto.

Sinais de alerta que merecem atenção

Nem todo QR Code recebido por e-mail representa uma ameaça, mas alguns padrões devem acender um sinal de alerta imediato: solicitações urgentes sem contexto claro, pedidos de validação de senha, mensagens inesperadas de remetentes conhecidos, ausência de qualquer link clicável no corpo do e-mail e, talvez o mais importante, qualquer mensagem que desencoraje a confirmação da solicitação por outro canal.

Esse último ponto é um indicador clássico de engenharia social.

Golpistas tentam isolar a vítima do processo de verificação porque sabem que uma ligação de confirmação desfaz o ataque inteiro. A CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA) reforça que verificar solicitações por canais alternativos é uma das medidas mais eficazes contra ataques baseados em engenharia social.