- Golpe com QR Code engana vítimas com páginas falsas realistas.
- Quishing cresce e dribla sistemas de segurança com facilidade.
- Hackers usam PDFs falsos para roubar logins corporativos.
Os golpistas digitais encontraram uma nova armadilha eficaz. Eles usam QR code para roubar credenciais de login com cada vez mais sucesso.
Muita gente escaneia o QR code sem pensar duas vezes, confiando que eles são seguros por padrão. Esse gesto automático abre caminho para golpes cada vez mais sofisticados.
Hackers e Quishing: o phishing disfarçado em QR Code
Os ataques de hackers, conhecido como quishing, funciona de forma simples. Os criminosos escondem um link malicioso dentro de um QR code Quando a vítima escaneia a imagem, o celular abre automaticamente uma página falsa, muitas vezes idêntica à de login da Microsoft. Em segundos, as credenciais vão parar nas mãos dos invasores.
Diferente de e-mails suspeitos com links visíveis, o QR Code parece inofensivo. Não há pistas óbvias. Um toque rápido, e o estrago já está feito. A vítima sequer percebe que caiu em um golpe.
Pesquisadores da Unit 42 identificaram, que desde 2024, os invasores têm usado novas táticas para enganar suas vítimas com códigos. Além disso, os golpistas usam e-mails com arquivos em PDF que simulam documentos oficiais da empresa, folhas de pagamento, contratos e notificações falsas do Adobe Acrobat Sign ou DocuSign.
O golpe engana não apenas pessoas, mas também os sistemas de segurança. Os criminosos inserem elementos como o Cloudflare Turnstile para simular checagem humana, passando por rastreadores e filtros automáticos. Com isso, a página falsa parece legítima até para sistemas avançados.
Alvo certo, hora certa
Em muitos casos, os hackers escolhem bem suas vítimas. Porém, eles personalizam os documentos, inserem logotipos da empresa e simulam mensagens do RH. Essa abordagem aumenta a taxa de sucesso do ataque. Quando o e-mail chega com nome, data e contexto certos, o usuário baixa a guarda.
Setores como saúde, energia, educação e finanças estão entre os mais visados. Os ataques ocorrem principalmente nos EUA e na Europa, mas podem facilmente se espalhar para outros países. Com a popularização dos QR Code no dia a dia, o risco se tornou global.
Os smartphones, por serem menos protegidos que computadores corporativos, viraram o ponto fraco ideal. Ao escanear o código no celular, o usuário perde a camada de proteção da rede da empresa exatamente como os criminosos planejaram.
A recomendação dos especialistas é simples, nunca escaneie um QR Code de uma fonte desconhecida. Desconfie de PDFs enviados por e-mail que exigem ações urgentes. E, sempre que possível, digite o endereço do site manualmente em vez de seguir o link.
Porém, a técnica do quishing se mostra sorrateira, eficaz e, pior, ainda pouco conhecida. Ainda mais, enquanto muitos seguem achando que QR Code é sinônimo de praticidade, os golpistas continuam se aproveitando da distração para roubar dados sensíveis.
