-

Nova Tática de Phishing Usa QR Codes Feitos com Texto para Driblar Sistemas de Segurança | Cetlag

em

Nova Tática de Phishing Usa QR Codes Feitos com Texto para Driblar Sistemas de Segurança

Criminosos digitais evoluem técnicas para contornar filtros de proteção e roubar credenciais

🔥 MEGA PROMOÇÃO TECH NA SHOPEE! 🔥

Aproveite agora a mega promoção de produtos tech na Shopee!

CLIQUE AQUI E CONFIRA!

O Phishing Continua Evoluindo

O phishing é uma das ameaças mais antigas da internet, mas continua sendo uma das mais eficazes. Tradicionalmente, os criminosos enviam mensagens que simulam comunicações legítimas de empresas, bancos ou serviços online para convencer as vítimas a fornecer senhas, dados bancários ou outras informações confidenciais.



 

Nova tática de phishing códigos QR como texto
Nova tática de phishing: códigos QR como texto

Nos últimos anos, uma variação conhecida como quishing ganhou força. Nela, os links maliciosos são substituídos por QR Codes que direcionam a vítima para páginas fraudulentas. Agora, os criminosos deram mais um passo nessa evolução.

O Que São QR Codes Feitos com Texto?

Em vez de anexar uma imagem contendo um QR Code, os invasores utilizam caracteres especiais, blocos Unicode e símbolos de texto para reproduzir visualmente o padrão de um QR Code.

Para um leitor humano, o conteúdo pode parecer apenas uma sequência estranha de caracteres. Porém, quando exibido corretamente, ele forma um QR Code funcional capaz de ser escaneado pela câmera de um smartphone.

A grande vantagem para os criminosos: muitos sistemas de segurança corporativos foram projetados para analisar imagens anexadas em mensagens, mas podem não identificar um QR Code construído inteiramente com texto.

Como Funciona o Golpe na Prática

O ataque geralmente segue um roteiro bem definido:

1 Envio da mensagem

A vítima recebe um e-mail aparentemente legítimo. Os temas mais comuns incluem:

  • Atualização de senha
  • Documentos pendentes
  • Faturas e boletos
  • Avisos de recursos humanos
  • Solicitações de assinatura digital
  • Alertas de segurança de contas
2 Exibição do QR Code textual

No corpo da mensagem, o usuário encontra um bloco de caracteres que forma um QR Code. A mensagem normalmente orienta:

"Escaneie o código abaixo para acessar o documento."
ou
"Use seu celular para validar sua identidade."
3 Redirecionamento para uma página falsa

Após o escaneamento, o QR Code direciona para um site controlado pelos criminosos. Esses sites costumam imitar:

  • Microsoft 365
  • Google Workspace
  • Dropbox
  • DocuSign
  • Bancos
  • Plataformas corporativas
4 Roubo das credenciais

Ao acreditar que está acessando um serviço legítimo, a vítima informa seu login e senha, entregando seus dados diretamente aos criminosos.

Por Que Essa Técnica Preocupa Especialistas?

Embora pareça uma mudança simples, ela explora uma limitação existente em muitos mecanismos de proteção.

Menor Detecção Automatizada

Ferramentas de segurança frequentemente analisam:

  • Links presentes no e-mail
  • Arquivos anexados
  • Imagens incorporadas
O problema: Quando o QR Code é representado apenas por texto, alguns mecanismos podem não reconhecer sua presença, deixando a mensagem maliciosa passar pelos filtros.

Uso do Smartphone Como Vetor

Grande parte dos usuários escaneia QR Codes utilizando o celular. Isso cria outro problema: mesmo que o computador da empresa possua diversas camadas de proteção, o acesso final ocorre em um dispositivo diferente, muitas vezes sem os mesmos controles de segurança.

Aspecto Aparentemente Inofensivo

Muitas pessoas já se acostumaram a utilizar QR Codes para pagamentos, cardápios digitais, documentos, aplicativos e sites corporativos. Os criminosos exploram exatamente essa confiança.

O Crescimento do Quishing

Especialistas em segurança têm observado um aumento significativo dos ataques baseados em QR Codes nos últimos anos.

O motivo é simples: os QR Codes escondem o endereço final do site até o momento do escaneamento. Isso reduz a capacidade do usuário de identificar links suspeitos apenas observando o conteúdo da mensagem.

A utilização de QR Codes feitos com texto representa mais uma tentativa dos criminosos de escapar das ferramentas de detecção tradicionais.

Como Identificar uma Tentativa de Golpe

Alguns sinais podem indicar que um QR Code textual faz parte de uma campanha maliciosa:

Urgência Exagerada

Mensagens como estas são sinal de alerta:
  • "Sua conta será bloqueada"
  • "Ação necessária imediatamente"
  • "Prazo final hoje"

Solicitação Inesperada

Desconfie quando receber pedidos de autenticação, atualização de senha ou validação de identidade sem ter iniciado o processo.

Remetente Estranho

Mesmo que o nome exibido pareça legítimo, verifique cuidadosamente o endereço de e-mail real do remetente.

Erros de Escrita

Muitos ataques apresentam traduções mal feitas, erros gramaticais e formatação inconsistente.

Solicitação de Credenciais

Regra de ouro: Nenhuma empresa séria pede que você informe sua senha após acessar um link recebido de forma inesperada.

Como Se Proteger

Verifique o Endereço Antes de Abrir

Após escanear um QR Code, observe atentamente a URL exibida pelo celular antes de prosseguir.

Utilize Autenticação Multifator (MFA)

Mesmo que uma senha seja comprometida, o MFA adiciona uma camada extra de proteção.

Mantenha Sistemas Atualizados

Atualizações corrigem vulnerabilidades exploradas por criminosos.

Desconfie de Mensagens Não Solicitadas

Especialmente quando envolvem documentos, pagamentos ou alterações de conta.

Treine Usuários e Colaboradores

A conscientização continua sendo uma das defesas mais eficazes contra ataques de engenharia social. Investir em treinamento é tão importante quanto qualquer ferramenta de segurança.

O Futuro dos Golpes Digitais

A criatividade dos criminosos digitais demonstra que a segurança não depende apenas de tecnologia, mas também da capacidade de adaptação dos usuários e das empresas.

A utilização de QR Codes criados com caracteres de texto mostra como pequenas mudanças podem ser suficientes para contornar mecanismos tradicionais de proteção.

À medida que sistemas de segurança evoluem, os atacantes buscam novas formas de ocultar seus golpes. Por isso, manter-se informado sobre as tendências do cibercrime tornou-se tão importante quanto utilizar antivírus e ferramentas de proteção.

Conclusão

Os QR Codes textuais representam uma nova etapa na evolução do phishing. Embora a técnica seja relativamente simples, ela explora brechas existentes em processos de análise automatizada e no comportamento dos usuários.

A melhor defesa continua sendo a combinação de tecnologia, boas práticas de segurança e atenção aos detalhes.

Antes de escanear qualquer QR Code recebido por e-mail ou mensagem, vale a pena gastar alguns segundos verificando sua origem. Em muitos casos, essa simples atitude pode evitar o comprometimento de contas, dados pessoais e informações corporativas.

Cetlag Informa — Tecnologia, segurança e informação para o seu dia a dia.
Artigo publicado em Junho de 2026

Fonte

Pesquisas recentes de empresas de cibersegurança que monitoram campanhas de quishing e novas técnicas de phishing observadas em 2025 e 2026.

Comentários

Postar um comentário