🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
All posts

O que é Quishing (QR Phishing)?

O Quishing é um phishing baseado em QR, no qual os atacantes escondem links maliciosos em códigos QR; saiba como funciona e como detectar e evitar esses golpes.
Written by
CloudSEK Editorial
Published on
Friday, February 27, 2026
Updated on
February 27, 2026

Principais conclusões:

  • O Quishing é uma forma de phishing que oculta URLs maliciosos dentro de códigos QR para redirecionar os usuários para sites enganosos.
  • Os atacantes exploram as interações diárias de QR colocando códigos falsos em e-mails, espaços públicos e mensagens transacionais.
  • O quishing é difícil de detectar porque as imagens QR ocultam seu destino e geralmente ignoram as ferramentas de segurança tradicionais.
  • Os usuários podem reduzir o risco verificando as fontes de QR, visualizando URLs e usando uma autenticação mais forte para proteger contas confidenciais.

O que é Quishing?

O Quishing, ou phishing QR, é uma forma de fraude digital em que os invasores incorporam um URL codificado em um código QR para redirecionar os usuários a um destino on-line enganoso. Ele adapta o phishing tradicional em um formato que parece familiar e combina perfeitamente com as configurações do dia a dia, como menus, etiquetas de serviço e avisos de entrega.

Esse método está crescendo porque os códigos QR ocultam seu destino, oferecendo aos usuários uma maneira visual de avaliar o link antes da digitalização. Ao combinar conveniência, comportamento rotineiro de escaneamento e um caminho de redirecionamento oculto, o quishing introduz um ponto de entrada sutil para acesso não autorizado e coleta de credenciais.

Como funciona um ataque de esmagamento?

how quishing attack works

Um ataque de quishing começa quando um atacante gera um código QR vinculado a uma página da web controlada que imita um serviço legítimo. O código é colocado onde os usuários naturalmente o esperam, criando um contexto confiável que diminui as suspeitas antes da verificação.

Quando a vítima escaneia o código QR, o navegador móvel carrega imediatamente o URL codificado, apresentando uma interface falsificada projetada para parecer autêntica. Esse ambiente permite que os invasores solicitem informações ao usuário enquanto mascaram a natureza fraudulenta da página.

Se a vítima enviar credenciais, dados financeiros ou detalhes pessoais, o atacante captura as informações por meio de um mecanismo de coleta embutido no site. Os dados são então usados para acesso não autorizado, manipulação financeira ou escalonamento para um comprometimento mais amplo.

O que é QRLjacking?

O QRLjacking é uma técnica de sequestro de sessão em que os invasores exploram sistemas de login baseados em QR para assumir a sessão ativa da conta de um usuário.

  • Interceptação de login: Os invasores clonam ou substituem um código de login QR legítimo gerado por uma plataforma. Quando a vítima a escaneia, o atacante captura a solicitação de sessão e conclui o login em seu próprio dispositivo.
  • Sequestro de sessão: A solicitação QR roubada permite que o atacante se autentique como vítima sem precisar de nenhuma credencial. Isso lhes dá acesso total à conta como se estivessem logados normalmente.
  • Decepção do usuário: As vítimas acreditam que estão escaneando um código QR de login válido fornecido pelo serviço. Como o processo parece perfeito, a maioria dos usuários não sabe que a sessão foi interceptada.
  • Diferença principal: O Quishing depende do redirecionamento dos usuários para um site fraudulento, enquanto o QRLjacking abusa do fluxo de login QR de uma plataforma real para obter acesso. No QRLjacking, o atacante está entrando em uma sessão genuína, o que torna a intrusão mais difícil de perceber.

Por que o Quishing é considerado uma ameaça séria hoje em dia?

O Quishing é considerado uma ameaça séria porque transforma o phishing em uma carga útil baseada em imagens que é mais difícil para ferramentas de segurança, filtros e usuários avaliarem antes da interação.

  • Alto engajamento: A familiaridade com o escaneamento QR aumenta a probabilidade de os usuários abrirem links codificados sem verificar a fonte.
  • Alcance mais amplo: Os invasores podem distribuir códigos QR maliciosos por meio de e-mails, ambientes públicos, rótulos de serviço e pontos de contato transacionais.
  • Detecção de ponto cego: Os sistemas de segurança geralmente têm dificuldade em decodificar imagens QR, deixando o URL incorporado sem ser inspecionado e ignorando a filtragem tradicional.
  • Interfaces enganosas: Destinos maliciosos frequentemente replicam portais de login, telas de pagamento ou páginas de verificação de identidade com uma precisão convincente.
  • Impacto severo: A busca bem-sucedida leva ao roubo de credenciais, ao acesso não autorizado à conta, à fraude financeira ou à maior exposição da rede para as organizações.

Quais são os desafios que o Quishing representa?

O quishing cria obstáculos práticos para usuários e organizações porque as interações de QR geralmente estão fora dos fluxos de trabalho normais de segurança. Essas limitações dificultam a aplicação consistente de inspeção, controle e verificação nos ambientes em que os códigos QR são usados.

Adulteração de código QR

Os invasores podem substituir códigos QR autênticos por adesivos enganosos em espaços públicos, dificultando a validação se um código é genuíno. Como o posicionamento físico parece normal, os usuários não têm um ponto de referência claro para perceber a diferença.

Vulnerabilidade de BYOD

A maioria das interações de QR acontece em smartphones pessoais que não são gerenciados por ferramentas de segurança corporativas. Isso reduz a visibilidade das organizações e deixa os navegadores móveis mais expostos a redirecionamentos prejudiciais.

Detecção de pontos cegos

Os sistemas de segurança são projetados principalmente para escanear URLs baseados em texto em vez de extrair dados codificados de imagens. Essa lacuna limita a capacidade dos filtros de e-mail e das defesas automatizadas de identificar destinos perigosos de códigos QR antes que os usuários os digitalizem.

Onde os ataques de esmagamento geralmente acontecem?

Os ataques de quishing aparecem em locais onde os códigos QR são usados para acesso rápido, pagamentos ou interações de serviços. Os atacantes atacam ambientes que parecem rotineiros, então o código QR malicioso se mistura às atividades diárias.

Solicitações de QR por e-mail

Os invasores enviam códigos QR em e-mails sob o pretexto de verificar contas, recuperar documentos ou concluir verificações de segurança. Esses códigos parecem legítimos porque os usuários estão acostumados a receber lembretes relacionados ao serviço por e-mail.

Posicionamentos públicos de QR

Adesivos QR falsos são colocados em pôsteres, parquímetros, menus ou banners de eventos para fazer com que as pessoas os digitalizem de passagem. A configuração parece normal, então as vítimas raramente notam que o código original foi substituído.

Mensagens relacionadas à transação

Os golpistas anexam códigos QR a avisos de entrega, atualizações de pagamento, mensagens de suporte ao cliente ou solicitações de criptomoedas. Esses contextos criam urgência, aumentando a probabilidade de alguém escanear o código fraudulento sem avaliá-lo.

Como você pode detectar um ataque de esmagamento?

Detectar o quishing exige prestar atenção tanto à aparência física do código QR quanto ao comportamento do site ao qual ele leva. Pequenas inconsistências podem revelar se o código pertence a uma fonte legítima.

Posicionamento suspeito de QR

Um código QR que parece um adesivo recente, parece desalinhado ou cobre outro elemento impresso pode indicar adulteração. Qualquer código QR colocado em um local inesperado deve ser abordado com cuidado.

URLs inseguros ou alterados

Se a digitalização do código revelar um domínio com erros ortográficos, extensões incomuns ou marcas não relacionadas, provavelmente é malicioso. Os serviços legítimos mantêm domínios consistentes e reconhecíveis.

Solicitações inesperadas

Um site que solicita imediatamente credenciais de login, detalhes pessoais ou informações de pagamento é um forte sinal de alerta. Plataformas confiáveis não solicitam dados confidenciais sem contexto e autenticação claros.

Quais são os riscos de cair em um ataque de esmagamento?

Cair em um ataque de esmagamento pode expor informações confidenciais e causar danos financeiros ou de contas significativos. As consequências vão além da interação inicial e podem afetar indivíduos e organizações.

Roubo de credenciais

Os invasores podem capturar nomes de usuário, senhas e detalhes de autenticação multifator por meio de páginas de login enganosas. As credenciais roubadas geralmente são usadas para acesso não autorizado à conta ou vendidas em mercados criminosos.

Exposição financeira

Códigos QR maliciosos podem levar a páginas de pagamento fraudulentas ou formulários de verificação de conta criados para coletar informações bancárias. Esses dados permitem transações não autorizadas, redirecionamento de pagamentos ou comprometimento direto da conta.

Comprometimento do sistema

Alguns sites de esquisição implantam malware ou ferramentas de acesso remoto que se infiltram no dispositivo da vítima. Esse ponto de apoio pode ser usado para monitorar atividades, roubar dados adicionais ou migrar lateralmente para ambientes de negócios.

Como você pode evitar ataques de esmagamento?

how to prevent quishing attacks

Evitar a eliminação exige a combinação de hábitos cautelosos de escaneamento com ferramentas de segurança que limitam o risco de interação com códigos QR não confiáveis. Tanto os usuários individuais quanto as organizações se beneficiam do reforço do comportamento seguro de escaneamento.

Verifique as fontes de QR

Leia somente códigos QR de origens conhecidas e confiáveis, especialmente ao lidar com pagamentos ou acesso à conta. Evite digitalizar códigos colocados em espaços públicos, a menos que sua autenticidade seja clara.

Use ferramentas de visualização de URL

Ative recursos ou aplicativos que exibem o URL de destino antes de abri-lo em um navegador. A visualização prévia do link ajuda a identificar marcas incompatíveis, domínios alterados ou redirecionamentos inseguros.

Aplique uma autenticação forte

Use autenticação multifatorial e práticas de login seguro para reduzir os danos causados pelo roubo de credenciais. Mesmo que os invasores obtenham uma senha, barreiras adicionais de autenticação limitam sua capacidade de acessar contas.

Considerações finais

O Quishing evoluiu rapidamente para uma ameaça cibernética comum porque os códigos QR agora estão no centro das interações diárias, tornando mais fácil para os invasores disfarçarem destinos prejudiciais. Estar ciente de como esses golpes funcionam ajuda os usuários a reconhecer situações em que um código QR pode não ser tão confiável quanto parece.

Ao combinar hábitos cautelosos de escaneamento com ferramentas básicas de segurança e práticas de autenticação mais fortes, indivíduos e organizações podem reduzir significativamente sua exposição. A vigilância consistente e a tomada de decisões informadas continuam sendo as formas mais eficazes de evitar ser vítima de fraudes baseadas em QR.

Schedule a Demo
Related Posts
What is an Attack Vector? Types & Prevention
An attack vector is a technique attackers use to exploit weaknesses and enter a system to steal data, deploy malware, or compromise networks.
What is Cookie Logging? Meaning, Risks, and Prevention
Cookie logging is a method of stealing authentication cookies from web browsers to gain unauthorized access to online accounts without needing a password.
What is a Kerberoasting Attack? Definition, Risks, and Prevention
A Kerberoasting attack is a credential theft technique that exploits Kerberos service tickets in Microsoft Active Directory to crack service account passwords offline and escalate privileges.

Start your demo now!

Schedule a Demo
Free 7-day trial
No Commitments
100% value guaranteed

Related Knowledge Base Articles

No items found.