QR Code – Pesquisadores da Barracuda Networks identificaram duas novas técnicas de fraude digital que exploram QR Codes para burlar mecanismos de segurança e ampliar o alcance de campanhas de phishing — prática que vem sendo chamada de quishing. O estudo, divulgado nesta quarta-feira (20), aponta a conexão dos ataques a kits de phishing-as-a-service (PhaaS), como Gabagool e Tycoon.
Segundo a análise, os criminosos utilizam manipulações visuais que confundem leitores de QR Code e ferramentas de proteção de e-mail. A estratégia eleva a taxa de sucesso das tentativas de roubo de credenciais, especialmente de contas corporativas da Microsoft.
LEIA: Quadrilha do golpe do boleto é desmantelada após operação do MP
Como funcionam os novos golpes com QR Code
A pesquisa descreve duas modalidades principais:
• QR Code “fatiado” em imagens separadas: ligado ao kit Gabagool, esse método divide o código em duas partes que, isoladas, parecem inofensivas. Ao serem escaneadas juntas, recompõem o QR malicioso e levam a vítima a uma página falsa de login.
• QR malicioso embutido em um código legítimo: observado em campanhas associadas ao Tycoon, essa técnica mistura um QR fraudulento dentro de outro aparentemente confiável. Enquanto um aponta para uma página do Google, o código maior direciona para o site de phishing, dificultando a detecção automática.
Método eficaz
O uso de QR Code em golpes cresce porque reduz barreiras para a vítima e engana sistemas que priorizam a inspeção de links clicáveis. Ao fragmentar ou sobrepor códigos, os criminosos evitam os sinais que normalmente alertariam os filtros de segurança.
As campanhas mapeadas direcionam o usuário a páginas que imitam fluxos de login da Microsoft, com o objetivo de capturar senhas, tokens de sessão e permitir movimentação lateral em ambientes corporativos, o que pode resultar em fraude financeira e sequestro de e-mails.
Como se proteger do “quishing”
Os especialistas destacam que QR Codes devem ser tratados com a mesma cautela que links recebidos por e-mail ou redes sociais. Entre as recomendações estão:
• Desconfiar de QR Codes enviados em mensagens não solicitadas, sobretudo os que exigem login ou atualização de senha.
• Digitar manualmente o endereço no navegador em vez de depender de códigos que prometem acesso rápido.
• Conferir o link de destino após o escaneamento, observando erros de grafia, ausência de HTTPS ou domínios estranhos.
• Utilizar autenticação multifatorial (MFA) com aplicativos ou chaves físicas.
• Adotar senhas únicas e fortes para cada serviço, preferencialmente com auxílio de um gerenciador.
• Promover treinamentos sobre riscos de quishing e outros golpes visuais, inclusive em materiais físicos como cartazes e crachás.
• Investir em soluções de e-mail capazes de inspecionar imagens e identificar padrões de kits PhaaS.
A pesquisa reforça que golpes apoiados em serviços como Gabagool e Tycoon fazem parte da “industrialização do phishing”, com ferramentas prontas para criminosos aplicarem técnicas sofisticadas. Para empresas e usuários, o alerta é claro: fortalecer políticas de identidade e investir em conscientização digital são medidas indispensáveis.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/Jalanajaudah)
