Skip to content
Human Risk

Quishing e outras ameaças emergentes com QR Codes

Ameaças envolvendo os famosos códigos bidimensionais são cada vez mais volumosas e frequentes.

Quishing e outras ameaças emergentes com QR Codes
Ramon de Souza

Ramon de Souza

(ISC)² Certified in Cybersecurity | Journalist | Author | Speaker

6 min de leitura 


É difícil dizer com exatidão quando os QR Codes chegaram às mãos dos usuários finais. A tecnologia — cujo nome é uma abreviação para quick response codes ou códigos de resposta rápida — é de origem japonesa e foi desenvolvida para uso industrial, sendo uma forma mais ágil encontrada pelos engenheiros da Denso (fabricante de peças automotivas) de rastrear a logística dos componentes durante as diversas etapas de manufatura. A solução encontrada era muito mais prática do que os códigos de barras.

Em algum momento, a ideia saiu das plantas industriais e ganhou usos mais comerciais, com smartphones se tornando capazes de ler as informações codificadas de tal forma. Porém, não é exagero afirmar que os QR Codes só ganharam notoriedade após a pandemia da COVID-19. Bares e restaurantes tiveram que adotar menus digitais, com a clientela acessando tais arquivos através dos códigos em questão. No Brasil, o Pix também ajudou a popularizar a tecnologia dentro dos meios de pagamentos.

Como sempre acontece com novas tendências tecnológicas, não demorou muito para que o crime cibernético percebesse tal popularidade e resolvesse se aproveitar dos QR Codes para elaborar golpes e lesar internautas desavisados. De acordo com um recente levantamento da HoxHunt, só nas duas primeiras semanas de outubro, foi identificado um aumento de 22% no número de campanhas de phishing que utilizam esses códigos. Tais atividades já têm até um nome definido: quishing.


Mais um “shing” para a lista

Pois é — depois do phishing, vishing e smishing, temos agora a onda do quishing, que nada mais é do que a disseminação de QR Codes maliciosos que redirecionam o usuário para uma página que pode distribuir malwares ou incentivar a entrega voluntária de dados pessoais em um formulário falso. Para que as campanhas sejam bem-sucedidas, os golpistas se aproveitam do fato de que, na maioria das vezes, os leitores de códigos dos smartphones abrem o link de destino de maneira instantânea, sem qualquer checagem.

Tal como outros ataques dependentes de engenharia social, o quishing pode ocorrer de forma 100% digital ou ser parcialmente físico. No primeiro cenário, os QR Codes maliciosos são distribuídos em emails, redes sociais, aplicativos de mensagens instantâneas e sites falsos. No segundo, os criminosos podem chegar ao nível de colar códigos em locais públicos (substituindo os oficiais de restaurantes e bares, por exemplo) ou privados (invadindo escritórios ou plantas industriais).

Outros perigos do QR Code

Embora seja o mais preocupante, é importante ressaltar que o quishing não é a única forma maliciosa que o crime cibernético encontrou para explorar os QR Codes. Também temos o QRLJacking, ataque da categoria “man-in-the-middle” (MitM) no qual o golpista se aproveita de serviços online que permitem login através da leitura desses códigos. Através da interceptação entre o dispositivo da vítima e o servidor da aplicação em questão, eles injetam códigos falsificados que roubam suas credenciais e token de sessão.

Para que o QRLJacking funcione, porém, é preciso que a aplicação esteja vulnerável a tal tipo de golpe — e, acredite, houve um tempo no qual grandes redes sociais e mensageiros sofreram com tal erro em suas infraestruturas. Ainda assim, é bom ficar de olho e utilizar apps de leitura que revelam o real conteúdo por trás de um QR Code.


Conscientização: a melhor defesa

Com a jornada educacional da Eskive criada por especialistas no assunto e o catálogo de ataques simulados sempre atualizado de acordo com as últimas tendências do crime cibernético, fica mais fácil garantir que seus colaboradores estejam cientes das ameaças que envolvem a leitura indiscriminada de QR Codes.

Com nossa metodologia proprietária orientada a dados, é possível ainda ter uma visão holística sobre os índices de engajamento e de comportamento inadequado, possibilitando um rápido ajuste em sua estratégia de proteção à informação. Não à toa, a Eskive foi agraciada com o quarto lugar no ranking Top 10 da 100 Open Startups 2023, dentro da categoria estreante “Cibersegurança e Identidade”.

Converse conosco e entenda como podemos ajudar!

Últimos artigos

Disrupções e prejuízos: os desafios cibernéticos das instalações industriais

Disrupções e prejuízos: os desafios cibernéticos das instalações industriais

Infraestruturas críticas, fábricas e especialmente linhas de montagem de grandes empresas do ramo automotivo estão se tornando alvos freque...

Dia dos Namorados: o amor está no ar e o cibercrime também!

Dia dos Namorados: o amor está no ar e o cibercrime também!

Assim como em outras datas comemorativas com alto apelo comercial, é preciso tomar cuidado com o aumento sazonal de crimes cibernéticos — e...

HIPAA e a proteção de dados médicos no Brasil: como ter a certificação?

HIPAA e a proteção de dados médicos no Brasil: como ter a certificação?

Considerada a maior regulamentação do mundo sobre informações de saúde, ela requer treinamentos específicos a respeito do setor para toda a...