1. What is quishing in simple terms?

Quishing is a type of phishing attack that uses a QR Code instead of a regular link. When someone scans the QR Code, it can send them to a fake website designed to steal passwords, payment details, or other sensitive information. The term combines the words "QR Code" and "phishing."

2. What is the difference between phishing and quishing?

Traditional phishing uses clickable links in emails, text messages, or websites. Quishing hides the malicious link inside a QR Code. Both attacks have the same goal: tricking people into visiting a fake website. The main difference is that quishing uses a QR Code to hide the destination.

3. Can scanning a QR Code give you a virus?

Scanning a QR Code by itself does not install a virus. A QR Code simply directs your device to a destination, such as a website. The risk comes from what happens after the scan. If the QR Code leads to a malicious website, that site may try to steal your information or convince you to download harmful software.

4. Why is quishing so hard to detect?

Many security tools are designed to inspect links and text. A QR Code is an image, which can make it harder to analyze. Quishing attacks also often move users from a work computer to a personal phone. This can make it more difficult for organizations to monitor and block malicious activity.

5. What are common quishing attack examples?

Common examples include fake QR Code stickers placed over real QR Codes on parking meters, phishing emails that pretend to be Microsoft 365 account alerts, and fraudulent invoices that contain QR Codes leading to fake payment pages. In each case, the attacker uses a QR Code to hide a malicious website behind a seemingly normal request.

6. How can organizations protect themselves from quishing?

Organizations can reduce their risk by using email security tools that inspect QR Codes, enforcing strong MFA, limiting access to sensitive systems, and training employees to recognize QR Code scams. A clear incident response plan is also important so teams know what to do if someone scans a malicious QR Code or enters credentials on a fake website.

7. How can you spot a fake QR Code?

A fake QR Code often redirects users to a suspicious website that imitates a legitimate brand. Before entering any information, check that the website URL matches the brand's official domain. Be cautious if the page contains spelling mistakes, asks for sensitive information, or looks different from the company's usual branding.

O que é o «quishing» (phishing com códigos QR)?

Shanti Nair

Última atualização: June 10, 2026

Ler um código QR tornou-se tão comum como clicar num link. As pessoas utilizam códigos QR para pagar contas, aceder a serviços e partilhar informações, e o processo demora normalmente apenas alguns segundos. No entanto, uma única leitura pode, por vezes, conduzir a um site falso criado com o objetivo de roubar dados. É essa a ideia por trás dos ataques de «quishing».

O quishing é uma forma de phishing que utiliza códigos QR para induzir as pessoas a visitarem sites fraudulentos. Estes esquemas visam frequentemente credenciais de login, informações de pagamento e contas empresariais.

Este guia aborda como funciona o quishing, por que razão os atacantes o utilizam e quais os grupos em maior risco. Encontrará também dicas práticas para evitar esquemas comuns e saberá como o quishing se insere no debate mais alargado sobre se os códigos QR são seguros.

Índice

O que é o quishing?
O quishing em números: a que ritmo a ameaça está a crescer
Como funciona um ataque de quishing
Por que razão o quishing contorna a segurança tradicional do e-mail
Exemplos reais de quishing
Quem são os alvos mais comuns dos ataques de quishing?
Como proteger a sua organização contra o quishing
Mantenha o controlo sobre os códigos QR que a sua empresa cria
Perguntas frequentes

O que é o quishing?

O quishing é um tipo de ataque de phishing que oculta um URL malicioso dentro de uma imagem de código QR, em vez de um link de texto clicável. O nome é uma mistura de «QR Code» e «phishing», e o objetivo é o mesmo de qualquer ataque de phishing: levá-lo a um site falso para que os atacantes possam roubar as suas credenciais de login, instalar malware ou recolher os seus dados de pagamento.

O que distingue o quishing é o método de entrega. O URL malicioso está incorporado num código QR que a câmara do seu telemóvel lê. Não se encontra no corpo de um e-mail, onde os filtros de segurança o podem analisar.

Os ataques de quishing aumentaram 587% em 2023, de acordo com a Keepnet, tornando o phishing por código QR uma das técnicas de phishing que mais cresce atualmente.

O quishing está associado a três tipos de ataques relacionados na família do phishing.

Tipo de ataque	Vetor principal	Método de entrega	Ferramenta de segurança que normalmente o deteta	Por que o quishing o evita
Phishing	E-mail	Link de texto clicável	Filtros de segurança de e-mail e verificações de reputação de URL	N/A (referência)
Smishing	SMS	Mensagem de texto com link	Filtragem das operadoras móveis e ferramentas de deteção de ameaças móveis	N/A
Vishing	Chamada de voz	Chamada telefónica com engenharia social	Ferramentas de filtragem de identificação de chamadas e deteção de fraudes de voz	N/A
Quishing	E-mail, materiais impressos ou superfícies físicas	Imagem de código QR incorporada num e-mail, PDF, cartaz, fatura ou sinal	Muitas ferramentas de segurança de e-mail concentram-se em URLs visíveis, links e indicadores baseados em texto	O URL malicioso está oculto dentro de uma imagem de código QR e é frequentemente aberto num dispositivo móvel separado, fora dos controlos de segurança da organização

A tabela acima é importante porque o quishing explora uma lacuna que muitas defesas tradicionais contra phishing não foram originalmente concebidas para resolver. Em vez de pedirem às vítimas para clicarem num link visível, os atacantes escondem o destino dentro de uma imagem de código QR. Em muitos casos, a leitura ocorre então num dispositivo móvel separado, fora dos controlos de segurança que normalmente inspecionam o tráfego web.

Os ataques de quishing surgem mais frequentemente através de dois canais.

O primeiro é o e-mail, onde um atacante incorpora um código QR numa mensagem, anexo ou PDF e incentiva o destinatário a digitalizá-lo.
O segundo é o mundo físico, onde um autocolante com um código QR falso é colocado sobre um código legítimo num parquímetro, numa mesa de café, num quiosque de átrio ou num quadro de avisos público. Ambas as abordagens assentam no mesmo comportamento: digitalizar um código sem verificar primeiro para onde conduz.

Quishing em números: a que ritmo a ameaça está a crescer

O aumento do quishing não é um risco futuro. Já está a acontecer em grande escala. De acordo com uma análise da Keepnet Labs, os ataques de quishing aumentaram 587% em 2023, tornando o phishing com códigos QR uma das ameaças cibernéticas que mais cresceu nos últimos anos.

Várias outras estatísticas apontam para a mesma tendência:

4,2 milhões de ameaças baseadas em códigos QR foram detetadas só no primeiro trimestre de 2025.
89,3% dos ataques baseados em códigos QR foram concebidos para roubar credenciais de login.
Houve 42 vezes mais ataques de quishing dirigidos a executivos de topo do que a funcionários não executivos.
26% dos links maliciosos enviados por e-mail estavam incorporados em códigos QR, em vez de serem apresentados como hiperligações tradicionais.
A Microsoft relata bloquear, em média, mais de 18 milhões de e-mails de phishing únicos contendo um código QR no corpo do e-mail por semana e cerca de 3 milhões de e-mails de phishing com código QR únicos por dia.

Os dados revelam também como os atacantes operam. Quase 9 em cada 10 ataques baseados em códigos QR concentram-se no roubo de credenciais, muitas vezes direcionando as vítimas para páginas de login falsas que imitam marcas e ferramentas empresariais de confiança. De acordo com o Relatório de Ameaças de E-mail do 1.º semestre de 2024 da Abnormal Security, os executivos são um alvo preferencial porque têm acesso a sistemas sensíveis, aprovações financeiras e dados da empresa.

De acordo com a empresa de cibersegurança NordVPN, 73% dos americanos digitalizam códigos QR sem verificação, e mais de 26 milhões já foram redirecionados para sites maliciosos. Ao ocultar o destino dentro de uma imagem, os atacantes podem incentivar as vítimas a mudar de um dispositivo de trabalho monitorizado para um telemóvel pessoal, onde os controlos de segurança podem ser mais fracos.

O crescimento do quishing acompanha de perto o crescimento da adoção do código QR. Menus sem contacto, pagamentos móveis, check-ins em eventos e fluxos de autenticação tornaram a leitura de códigos QR uma parte rotineira da vida quotidiana. À medida que a leitura se tornou um hábito de confiança, os atacantes ganharam uma nova forma de lançar campanhas de phishing sem depender de links tradicionais.

Como funciona um ataque de quishing

Um ataque de quishing desenrola-se em seis etapas. A lacuna de segurança crítica surge entre a etapa três e a etapa quatro.

Etapa 1: O atacante gera o código QR malicioso

O atacante cria um código QR que aponta para um URL malicioso. Trata-se frequentemente de um site de recolha de credenciais, uma página de download de malware ou um portal de pagamento falso. Os atacantes podem utilizar códigos QR dinâmicos nesta fase. Um código QR dinâmico armazena o destino num servidor, em vez de no próprio código. Agora, o atacante pode trocar o URL de destino após a distribuição para se antecipar às listas negras de URLs.

Passo 2: Incorporar o código QR na isca

O atacante insere a imagem do código QR como um PNG ou JPG dentro de um e-mail de phishing. Uma versão mais sofisticada incorpora o código num anexo PDF, como uma fatura, um documento de RH ou um aviso de conformidade. As imagens incorporadas em PDFs são ainda menos analisadas pelos scanners automatizados.

Passo 3: O e-mail passa pelos filtros de segurança da empresa

A vítima recebe o e-mail num portátil ou dispositivo corporativo. As ferramentas padrão de segurança de e-mail analisam o corpo das mensagens em busca de URLs maliciosas conhecidas, links de texto suspeitos e domínios sinalizados. O código QR é uma imagem. A URL maliciosa dentro da imagem é invisível para os filtros de análise de texto. O e-mail chega à caixa de entrada.

Passo 4: A vítima digitaliza com um telemóvel pessoal

O e-mail instrui o destinatário a digitalizar o código com o seu telemóvel. O isco pode alegar que o link é mais prático no telemóvel ou imitar uma redefinição de autenticação multifator (MFA) que requer um telemóvel. A vítima pega no seu dispositivo pessoal e digitaliza.

Passo 5: O navegador móvel abre a página de phishing

O telemóvel pessoal encontra-se fora do perímetro de segurança da empresa. A maioria dos dispositivos pessoais não possui software de gestão de dispositivos móveis (MDM). A rede privada virtual (VPN) da empresa não está ativa. O navegador segue o URL descodificado e apresenta a página do atacante.

Passo 6: Recolha de credenciais ou instalação de malware

A vítima introduz as credenciais na página de login falsa, conclui um pagamento falso ou descarrega uma aplicação que parece ser necessária. O atacante captura os dados.

A transição de dispositivo, que é a passagem de um dispositivo corporativo para um telemóvel pessoal entre os passos três e quatro, é a razão estrutural pela qual o quishing funciona onde o phishing padrão falha. O ataque explora dois perímetros de segurança distintos, e nenhum deles deteta a cadeia completa.

📝Nota: A ameaça do quishing é um problema distinto da forma como as empresas legítimas utilizam os códigos QR.

Uma empresa que cria códigos QR para menus, eventos ou documentos necessita da sua própria estrutura de segurança. A estrutura deve incluir domínios verificados, análises de digitalização e URLs de destino controladas.

Consequentemente, a segurança dos códigos QR para empresas vai além da prevenção de fraudes e inclui decisões sobre a seleção de plataformas, a gestão de códigos e as políticas de implementação.

Por que razão o quishing contorna a segurança tradicional do e-mail

A maioria dos e-mails de phishing contém um link clicável. As ferramentas de segurança podem inspecionar esse link, verificar a sua reputação e bloqueá-lo se parecer suspeito. O quishing funciona de forma diferente. Em vez de colocar o link no e-mail, os atacantes escondem-no dentro de um código QR.

Eis três razões pelas quais o quishing pode ser mais difícil de detetar do que o phishing tradicional.

1. O URL malicioso está oculto dentro de uma imagem

As ferramentas de segurança de e-mail são concebidas para analisar texto, links e domínios. Um código QR é uma imagem, pelo que o URL de destino pode não aparecer em nenhum ponto do texto visível do e-mail.

Os fornecedores de segurança utilizam agora a análise de imagens para detetar estas ameaças. Por exemplo, a Microsoft relata o bloqueio de cerca de 1,5 milhões de ataques baseados em códigos QR por dia. Mas nem todas as ferramentas de segurança de e-mail têm o mesmo nível de deteção de códigos QR.

2. A leitura ocorre frequentemente num dispositivo diferente

Muitas pessoas digitalizam códigos QR com os seus telemóveis, mesmo quando o e-mail chega a um computador de trabalho.

Quando um funcionário clica num link num portátil da empresa, as ferramentas de segurança conseguem frequentemente inspecionar e monitorizar essa atividade. Mas quando a mesma pessoa digitaliza um código QR com um telemóvel pessoal, a visita pode ocorrer fora dos controlos de segurança normais da organização. Isto dá aos atacantes outro caminho para atingir o seu alvo.

3. Os atacantes podem alterar o destino de um código QR

Algumas campanhas de quishing utilizam códigos QR dinâmicos. Um código QR dinâmico aponta para um destino que pode ser atualizado posteriormente. Isto permite aos atacantes alterar o URL final depois de o código QR já ter sido entregue. Em alguns casos, podem utilizar um destino inofensivo inicialmente e mudar para um malicioso mais tarde, tornando a deteção mais difícil.

O resultado é simples: um e-mail de phishing que contém um link malicioso visível é frequentemente mais fácil de analisar pelas ferramentas de segurança. Um código QR esconde esse destino por trás de uma imagem e adiciona etapas adicionais entre a vítima e o site malicioso.

Exemplos reais de quishing

Os ataques de quishing podem ocorrer em qualquer lugar onde as pessoas utilizam códigos QR. Alguns chegam por e-mail, enquanto outros aparecem em placas, cartazes e terminais de pagamento em locais públicos. Os exemplos abaixo mostram como os atacantes utilizam códigos QR para ocultar sites maliciosos por trás de uma simples leitura.

Golpe dos parquímetros de Austin (2022)

Em 2022, os burlões colocaram autocolantes com códigos QR falsos em 29 parquímetros em Austin, no Texas. Os condutores digitalizaram os códigos para pagar o estacionamento, mas os códigos QR conduziam, em vez disso, a um site de pagamento fraudulento. Qualquer pessoa que introduzisse os seus dados de pagamento corria o risco de fornecer essa informação diretamente aos burlões.

O ataque funcionou porque os autocolantes falsos pareciam legítimos. A maioria dos condutores não tinha motivos para suspeitar que os códigos QR originais tivessem sido substituídos.

Golpes de verificação de conta do Microsoft 365

Muitos e-mails de phishing fingem ser da Microsoft 365. A mensagem pode alegar que a sua palavra-passe está a expirar, que a sua conta precisa de verificação ou que as suas definições de MFA têm de ser atualizadas.

Em vez de incluir um link, o e-mail pede que você escaneie um código QR. O código QR abre então uma página falsa de login da Microsoft, projetada para roubar nomes de usuário e senhas. Algumas campanhas também tentam capturar informações de sessão que ajudam os invasores a obter acesso às contas.

Como o URL malicioso está oculto dentro do código QR, o e-mail pode parecer mais seguro do que uma mensagem de phishing tradicional à primeira vista.

Golpes com faturas e pagamentos

As empresas são outro alvo comum. Nestes ataques, os burlões enviam e-mails que parecem faturas, pedidos de pagamento ou extratos de conta de um fornecedor de confiança.

O e-mail contém um código QR falso que supostamente leva a detalhes de pagamento ou documentos comprovativos. Após digitalizar o código QR, a vítima é redirecionada para um site falso e é solicitada a introduzir informações de pagamento, dados bancários ou credenciais de conta. O objetivo é roubar dinheiro, informações confidenciais ou obter acesso a sistemas empresariais.

Um tema comum a todos estes ataques é a confiança. As pessoas esperam que os parquímetros, as páginas de início de sessão da Microsoft e as faturas dos fornecedores sejam legítimos. Os atacantes exploram essa confiança, escondendo sites maliciosos por trás de códigos QR. Os ataques de sobreposição física são especialmente eficazes porque um autocolante com um código QR falso pode misturar-se com um sinal, menu, quiosque ou estação de pagamento que, de outra forma, seria legítimo.

O desafio para os utilizadores é saber se um código QR é seguro antes de o digitalizarem. Compreender essa diferença começa por saber se os códigos QR são seguros e que medidas pode tomar para verificar um destino antes de o abrir.

Quem são os alvos habituais dos ataques de quishing?

Os atacantes não visam todas as pessoas de forma igual. Concentram-se em setores que lidam com dinheiro, informações confidenciais ou grandes quantidades de documentos. Também visam funcionários cujas funções envolvem a aprovação de pagamentos, a gestão de contas ou a análise de pedidos.

Setores visados por ataques de quishing

Setor	Isca comum de QR Code
Energia	Faturas de fornecedores, documentos de conformidade, pedidos de fornecedores
Serviços financeiros	Verificação de contas, aprovações de pagamentos, documentos seguros
Fabrico	Documentos de envio, faturas de fornecedores, pedidos de aquisição
Seguros	Documentos de apólices, inícios de sessão no portal do cliente, verificação de contas
Tecnologia	Reinicializações de MFA, partilha de documentos, downloads de software

Estas indústrias têm uma coisa em comum: muitos funcionários trabalham regularmente com faturas, formulários, aprovações e notificações de conta. Os atacantes aproveitam-se desses fluxos de trabalho diários, fazendo com que códigos QR maliciosos pareçam comunicações comerciais de rotina.

Funções frequentemente visadas por ataques de quishing

Embora certos setores enfrentem riscos mais elevados, os atacantes concentram-se frequentemente em funcionários específicos que têm acesso a dinheiro, dados confidenciais ou sistemas empresariais importantes.

Executivos

Os executivos estão entre os grupos mais visados. De acordo com a Abnormal Security, os líderes de topo recebem 42 vezes mais ataques de quishing do que outros funcionários. Os atacantes utilizam frequentemente pedidos urgentes, documentos de aprovação ou avisos de verificação de conta, uma vez que os executivos têm acesso a informações confidenciais e a sistemas financeiros.

Equipas financeiras

O pessoal financeiro é um alvo comum de fraudes em faturas e esquemas de pagamento. O seu trabalho exige que analisem faturas, aprovem pagamentos e colaborem com fornecedores. Os atacantes sabem disso e, frequentemente, disfarçam códigos QR maliciosos como pedidos de pagamento ou documentos financeiros.

Equipas de TI

Os funcionários de TI lidam regularmente com redefinições de senhas, atualizações de MFA e alertas de segurança. Os e-mails de quishing costumam copiar essas mensagens e usar códigos QR para direcionar as vítimas a páginas de login falsas.

Equipas de RH

Os funcionários de RH trabalham com currículos, formulários de integração, documentos de benefícios e registos de funcionários. Os atacantes podem disfarçar e-mails de quishing como documentos de contratação ou pedidos de funcionários para obter acesso aos sistemas da empresa.

Trabalhadores da linha da frente e no terreno

Os funcionários em armazéns, fábricas, lojas de retalho e outros locais físicos enfrentam um risco diferente. Os atacantes podem colocar autocolantes com códigos QR falsos em equipamentos, quiosques, sinalização ou terminais de pagamento que os trabalhadores utilizam diariamente.

O fio condutor comum a todos estes alvos é a confiança. Os atacantes procuram situações em que a leitura de um código QR pareça normal. Quanto mais familiar for o fluxo de trabalho, mais provável é que alguém leia primeiro e faça perguntas depois.

Como proteger a sua organização contra o quishing

O quishing funciona porque os atacantes escondem links maliciosos dentro de códigos QR e convencem as pessoas a digitalizá-los. Para reduzir o risco, as organizações precisam de defesas que abranjam tanto a segurança do e-mail como a segurança dos códigos QR. Os seis controlos abaixo podem ajudar.

1. Utilize ferramentas de segurança de e-mail capazes de inspecionar códigos QR

Os filtros de e-mail tradicionais são concebidos para analisar links e texto. Os ataques de quishing escondem o destino dentro de uma imagem de código QR.

As ferramentas modernas de segurança de e-mail conseguem descodificar códigos QR em e-mails e anexos e, em seguida, verificar se o destino é seguro. Sem esta capacidade, os códigos QR maliciosos podem passar pelos controlos de segurança sem serem detetados.

As normas de autenticação de e-mail, como DMARC, SPF e DKIM, continuam a ser importantes, mas apenas verificam o remetente. Não inspecionam o próprio código QR.

2. Reforçar a proteção da conta com MFA resistente a phishing

Muitos ataques de quishing têm como objetivo roubar nomes de utilizador e palavras-passe. Uma MFA forte reduz o risco de uma palavra-passe roubada levar ao comprometimento da conta.

Sempre que possível, utilize métodos resistentes ao phishing, como chaves de segurança ou passkeys. Estes métodos tornam muito mais difícil para os atacantes acederem às contas, mesmo que um colaborador introduza a sua palavra-passe num site falso.

3. Limite o acesso das contas comprometidas

Nenhum controlo de segurança é perfeito. As organizações devem partir do princípio de que alguns ataques acabarão por ser bem-sucedidos.

Limitar o acesso com base nas responsabilidades profissionais ajuda a reduzir os danos. Se os atacantes obtiverem acesso a uma conta, não devem poder circular livremente pelos sistemas, dados e aplicações.

4. Formar os colaboradores para reconhecerem fraudes com códigos QR

A maioria dos programas de sensibilização para a segurança centra-se em links suspeitos. Os funcionários também devem aprender como funciona o quishing.

A formação deve abranger sinais de alerta comuns, tais como códigos QR inesperados em e-mails, pedidos urgentes de verificação de conta e autocolantes com códigos QR colocados sobre sinais ou terminais de pagamento existentes.

5. Incluir o quishing nos programas de segurança e conformidade

Agências federais, incluindo a Comissão Federal do Comércio (FTC), o FBI e a Agência de Cibersegurança e Segurança de Infraestruturas (CISA), alertaram todas para o phishing com códigos QR.

As organizações devem rever as suas políticas de segurança existentes e garantir que o quishing está incluído na formação dos funcionários, nas avaliações de risco e nos procedimentos de resposta a incidentes. Isto é especialmente importante para setores regulamentados que já seguem quadros de cibersegurança e conformidade.

6. Criar um plano de resposta para incidentes em dispositivos móveis

Muitos ataques de quishing direcionam os utilizadores de um dispositivo de trabalho para um telemóvel pessoal.

As organizações devem dispor de um processo claro para investigar denúncias de leituras maliciosas de códigos QR, identificar contas expostas, repor credenciais e monitorizar atividades suspeitas.

O quishing difere do phishing tradicional porque esconde links maliciosos dentro de códigos QR e, muitas vezes, redireciona os utilizadores de um dispositivo de trabalho para um telemóvel pessoal. Estas táticas podem tornar os ataques mais difíceis de detetar e reduzir a eficácia dos controlos de segurança concebidos para inspecionar links baseados em texto e conteúdo de e-mail.

À medida que a utilização de códigos QR continua a crescer, as organizações precisam de tratar o quishing como um risco de segurança distinto. As empresas que combinam segurança de e-mail sensível a códigos QR, MFA robusta, formação de colaboradores e procedimentos de resposta claros estão mais bem preparadas para prevenir ataques e limitar os danos caso um deles seja bem-sucedido.

Mantenha o controlo sobre os códigos QR que a sua empresa cria

Nem todos os códigos QR são ameaças. As empresas utilizam códigos QR diariamente para pagamentos, documentos, experiências do cliente e fluxos de trabalho operacionais. O desafio consiste em garantir que os utilizadores possam confiar no destino a que esses códigos QR conduzem.

The QR Code Generator (TQRCG) ajuda as empresas a criar códigos QR rastreáveis, editáveis e ligados a destinos verificados. Isto dá às organizações maior visibilidade sobre como os seus códigos QR são utilizados e para onde direcionam os utilizadores.

O TQRCG também cumpre os requisitos de segurança da enterprise através das certificações SOC 2 Tipo 2 e ISO 27001, bem como a conformidade com o RGPD. Combinados com funcionalidades como o rastreio de digitalizações e a gestão de URLs de destino, estes controlos ajudam as empresas a manter uma segurança mais forte dos códigos QR, reduzindo simultaneamente o risco de utilização indevida.

Perguntas frequentes

1. O que é o quishing em termos simples?

O quishing é um tipo de ataque de phishing que utiliza um código QR em vez de um link normal. Quando alguém digitaliza o código QR, pode ser redirecionado para um site falso concebido para roubar palavras-passe, detalhes de pagamento ou outras informações confidenciais. O termo combina as palavras «QR Code» e «phishing».

2. Qual é a diferença entre phishing e quishing?

O phishing tradicional utiliza links clicáveis em e-mails, mensagens de texto ou sites. O quishing esconde o link malicioso dentro de um código QR. Ambos os ataques têm o mesmo objetivo: induzir as pessoas a visitar um site falso. A principal diferença é que o quishing utiliza um código QR para ocultar o destino.

3. A leitura de um QR Code pode causar um vírus?

A leitura de um código QR, por si só, não instala um vírus. Um código QR simplesmente direciona o seu dispositivo para um destino, como um site. O risco advém do que acontece após a leitura. Se o código QR conduzir a um site malicioso, esse site pode tentar roubar as suas informações ou convencê-lo a descarregar software prejudicial.

4. Por que é que o quishing é tão difícil de detetar?

Muitas ferramentas de segurança são concebidas para inspecionar links e texto. Um código QR é uma imagem, o que pode tornar a sua análise mais difícil. Os ataques de quishing também costumam redirecionar os utilizadores de um computador de trabalho para um telemóvel pessoal. Isto pode tornar mais difícil para as organizações monitorizar e bloquear atividades maliciosas.

5. Quais são os exemplos comuns de ataques de quishing?

Exemplos comuns incluem autocolantes com códigos QR falsos colocados sobre códigos QR reais em parquímetros, e-mails de phishing que se fazem passar por alertas de contas do Microsoft 365 e faturas fraudulentas que contêm códigos QR que conduzem a páginas de pagamento falsas. Em cada caso, o atacante utiliza um código QR para esconder um site malicioso por trás de um pedido aparentemente normal.

6. Como podem as organizações proteger-se do quishing?

As organizações podem reduzir o risco utilizando ferramentas de segurança de e-mail que inspecionam códigos QR, aplicando uma autenticação multifator (MFA) robusta, limitando o acesso a sistemas sensíveis e formando os colaboradores para reconhecerem fraudes com códigos QR. Um plano de resposta a incidentes claro também é importante para que as equipas saibam o que fazer se alguém digitalizar um código QR malicioso ou introduzir credenciais num site falso.

7. Como é que se identifica um código QR falso?

Um código QR falso redireciona frequentemente os utilizadores para um site suspeito que imita uma marca legítima. Antes de introduzir qualquer informação, verifique se o URL do site corresponde ao domínio oficial da marca. Tenha cuidado se a página contiver erros ortográficos, solicitar informações confidenciais ou parecer diferente da imagem de marca habitual da empresa.