Pesquisadores da Barracuda Networks descreveram duas novas técnicas de phishing via QR Code — o chamado quishing — capazes de contornar detecções automáticas e aumentar a taxa de sucesso de campanhas maliciosas. A pesquisa foi publicada nesta quarta-feira (20) e conecta os golpes a operadores de kits phishing-as-a-service (PhaaS), como Gabagool e Tycoon.

De acordo com o estudo, os criminosos estão explorando duas abordagens complementares para enganar leitores de QR Code e ferramentas de segurança de e-mail. Entenda!

Quais foram as descobertas sobre o golpe do QR Code?

1) QR Code “fatiado” em duas imagens

Nessa modalidade, atribuída a operadores do PhaaS Gabagool, o QR Code malicioso é dividido em duas imagens separadas e anexadas ao e-mail de phishing. À primeira vista, cada parte é tratada como um elemento estático e “inofensivo”. Quando o alvo usa o leitor de QR Code, a composição visual reconstitui o código completo e redireciona a vítima para uma página de phishing criada para roubar credenciais de contas Microsoft.

2) QR malicioso embutido em um QR legítimo

Na técnica observada em campanhas do PhaaS Tycoon, golpistas inserem um QR Code malicioso dentro de um QR legítimo. No caso analisado, o código maior levava para a página fraudulenta, enquanto o QR interno apontava para o Google. O resultado é um conteúdo ambíguo que confunde a leitura e tende a passar sem ser bloqueado por filtros ou leitores de QR mais simples.

Por que isso funciona

O vetor QR Code vem ganhando tração em golpes porque reduz o atrito na interação com a vítima e, ao mesmo tempo, escapa de inspeções tradicionais voltadas para links clicáveis. Ao “quebrar” o QR em múltiplos elementos ou mesclá-lo a um código legítimo, os atacantes minimizam sinais de alerta que motores de detecção costumam usar para classificar anexos e imagens suspeitas.

As campanhas descritas pela Barracuda têm como destino páginas que imitam fluxos de login da Microsoft. O objetivo é capturar usuário e senha e, quando possível, tokens de sessão. Em ambientes corporativos, o comprometimento de uma única identidade pode abrir caminho para movimentação lateral, sequestro de e-mails e fraude financeira.

Como se proteger do “quishing”

A recomendação central dos pesquisadores é tratar QR Codes com a mesma desconfiança dedicada a links recebidos por e-mail, mensageria ou redes sociais. Em outras palavras, QR Code também é link — só que disfarçado como imagem.

• Desconfie de QR Codes em e-mails não solicitados, especialmente os que pedem login, atualização de senha ou verificação de identidade.
• Prefira digitar o endereço manualmente no navegador em vez de escanear códigos que prometem “acesso rápido”.
• Verifique a URL de destino após o scan: domínios estranhos, erros de grafia e páginas sem HTTPS são sinais de alerta.
• Ative e exija autenticação multifatorial (MFA) nas contas — de preferência com app autenticador ou chave física.
• Use senhas fortes e únicas para cada serviço, de preferência com um gerenciador de senhas.
• Eduque usuários e equipes sobre “quishing” e outras iscas visuais, incluindo QR em crachás, cartazes e embalagens.
• Reforce a segurança de e-mail com soluções que inspecionem imagens e identifiquem padrões de PhaaS.

O uso de quishing por serviços PhaaS como Gabagool e Tycoon reforça uma tendência: industrialização do phishing, com kits que facilitam a adoção de truques gráficos e rotas de desvio de filtros. Para usuários e empresas, o recado é direto — políticas de identidade mais rígidas, verificação de domínio e treinamento contínuo continuam sendo o melhor antídoto.

Para não perder análises e alertas sobre novas técnicas de phishing e golpes com QR Code, siga o TecMundo no X/Twitter, Instagram, TikTok, YouTube e Facebook. Envie suas sugestões de pauta e relatos nas nossas redes sociais.