Ao contrário do phishing tradicional, o quishing remove uma das principais barreiras de defesa do utilizador, que é a capacidade de ver o link antes de clicar. O destino está escondido dentro do código QR, o que reduz significativamente a percepção de risco e facilita a manipulação através de engenharia social.
Este tipo de ataque tem vindo a ganhar tração em múltiplos contextos, desde campanhas de e-mail até cenários físicos. Já foram identificados casos em que códigos QR legítimos foram substituídos por versões fraudulentas em parquímetros, restaurantes, eventos e materiais promocionais, conduzindo vítimas para páginas falsas altamente convincentes.
Do ponto de vista da segurança, o impacto é relevante. Os QR codes maliciosos conseguem frequentemente contornar controlos tradicionais de segurança, incluindo filtros de e-mail e algumas soluções de proteção web, sobretudo quando o acesso ocorre via dispositivos móveis.
Segundo o relatório Email Threat Landscape Q1 2026 da Microsoft Threat Intelligence, o quishing registou um aumento de 146% num único trimestre, de 7,6 milhões de ataques em janeiro para 18,7 milhões em março de 2026, tornando-se o vetor de ataque de e-mail com crescimento mais rápido.
O quishing insere-se num quadro mais vasto de técnicas de engenharia social em expansão: o Microsoft Digital Defense Report 2025 identificou o phishing em todas as suas variantes como responsável por 28% das intrusões investigadas nesse ano.
Num cenário em que a superfície de ataque se expande e os utilizadores interagem diariamente com QR codes sem validação prévia, a prevenção deixa de ser apenas técnica e passa também a comportamental.
Como se proteger: