Golpe com QR Code contorna sistemas de segurança

Golpe com QR Code contorna sistemas de segurança é o alerta feito por pesquisadores da Barracuda Networks, que identificaram duas novas táticas de “quishing” capazes de enganar filtros de e-mail e leitores de QR Code, ampliando o sucesso de campanhas de phishing.

Golpe com QR Code contorna sistemas de segurança

O relatório, divulgado nesta quarta-feira (20), vincula as fraudes a operadores de kits phishing-as-a-service (PhaaS) chamados Gabagool e Tycoon. Segundo os pesquisadores, os criminosos adotam métodos que exploram a forma como imagens são analisadas por mecanismos de proteção.

Primeiro método – QR Code fatiado
No esquema atribuído ao Gabagool, o QR Code malicioso é dividido em duas imagens estáticas anexadas ao e-mail. Separadamente, cada parte parece inofensiva; juntas, quando escaneadas, recompõem o código completo e direcionam a vítima para uma página que imita o login da Microsoft, coletando usuário, senha e tokens de sessão.

Segundo método – QR duplo
Já as campanhas ligadas ao Tycoon inserem um QR Code fraudulento dentro de outro legítimo. O código externo aponta para o site falso, enquanto o interno leva ao Google. Essa sobreposição cria ambiguidade suficiente para escapar de filtros básicos e confundir destinatários desatentos.

Por que as técnicas funcionam?
QR Codes exigem que a vítima use um smartphone para acessar o link, reduzindo a visibilidade prévia da URL. Ao fragmentar ou mesclar o código, os golpistas eliminam indícios que soluções tradicionais usam para bloquear anexos suspeitos, aumentando a chance de sucesso nos ataques a contas corporativas.

Recomendações de segurança
• Trate QR Codes como links: evite escanear códigos recebidos por e-mail ou mensageria não solicitados.
• Digite o endereço manualmente no navegador sempre que o QR solicitar credenciais.
• Confira a URL após o scan e desconfie de domínios estranhos ou páginas sem HTTPS.
• Ative autenticação multifator e utilize gestores de senha.
• Implemente soluções de e-mail que analisem imagens em busca de padrões de PhaaS.

Para quem deseja detalhes técnicos adicionais, o relatório completo está disponível no site da Barracuda Networks, referência global em cibersegurança.

Com a popularização do PhaaS, golpes semelhantes devem se multiplicar. Manter políticas rígidas de identidade e investir em treinamento contínuo são medidas decisivas para empresas e usuários finais.

Quer aprofundar seu conhecimento sobre ameaças digitais? Visite nossa editoria de Ciência e Tecnologia e acompanhe as últimas atualizações.

Crédito da imagem: Barracuda Networks

Imagem: Internet