Logo  
julho 2026
 

Sabia que não pode confiar em todos os QRCodes?

Antes de digitalizar um QR Code, leia isto.

A adoção de códigos QR tornou-se massiva nos últimos anos, impulsionada pela digitalização de serviços, pela normalização de pagamentos digitais e pela procura de experiências contactless. Esta conveniência transformou o QR code num elemento quotidiano e, por isso, num vetor cada vez mais explorado por atacantes.

Surge assim o quishing, uma variante de phishing que utiliza códigos QR maliciosos para redirecionar utilizadores para sites fraudulentos, com o objetivo de roubo de credenciais, recolha de dados sensíveis ou distribuição de malware.

Intro
 
 

Ao contrário do phishing tradicional, o quishing remove uma das principais barreiras de defesa do utilizador, que é a capacidade de ver o link antes de clicar. O destino está escondido dentro do código QR, o que reduz significativamente a percepção de risco e facilita a manipulação através de engenharia social.

Este tipo de ataque tem vindo a ganhar tração em múltiplos contextos, desde campanhas de e-mail até cenários físicos. Já foram identificados casos em que códigos QR legítimos foram substituídos por versões fraudulentas em parquímetros, restaurantes, eventos e materiais promocionais, conduzindo vítimas para páginas falsas altamente convincentes.

Do ponto de vista da segurança, o impacto é relevante. Os QR codes maliciosos conseguem frequentemente contornar controlos tradicionais de segurança, incluindo filtros de e-mail e algumas soluções de proteção web, sobretudo quando o acesso ocorre via dispositivos móveis.

Segundo o relatório Email Threat Landscape Q1 2026 da Microsoft Threat Intelligence, o quishing registou um aumento de 146% num único trimestre, de 7,6 milhões de ataques em janeiro para 18,7 milhões em março de 2026, tornando-se o vetor de ataque de e-mail com crescimento mais rápido.

O quishing insere-se num quadro mais vasto de técnicas de engenharia social em expansão: o Microsoft Digital Defense Report 2025 identificou o phishing em todas as suas variantes como responsável por 28% das intrusões investigadas nesse ano.

Num cenário em que a superfície de ataque se expande e os utilizadores interagem diariamente com QR codes sem validação prévia, a prevenção deixa de ser apenas técnica e passa também a comportamental.

Como se proteger:

  • Confirmar sempre a origem do QR code antes de o digitalizar
  • Evitar introdução de credenciais ou dados sensíveis após acesso via QR
  • Utilizar ferramentas que permitam pré-visualizar o URL antes da abertura
  • Desconfiar de QR codes recebidos por e-mail, SMS ou mensagens não solicitadas
  • Garantir que dispositivos e aplicações estão atualizados
  • Reforçar formação contínua em awareness de engenharia social e phishing
  • Implementar soluções de segurança que analisem links gerados por QR codes

Pense antes de digitalizar. Um segundo de validação pode evitar um incidente de segurança.

 

Arquivo

2026

2025

2024

2023

2022

2021

2020

2019

Subscreva a nossa newsletter.


Consentimento Cookies X

A Devoteam Cyber Trust S.A. utiliza cookies para fins analíticos e de apresentação de informação mais personalizada, com base no perfil elaborado pelos seus hábitos de navegação. Se pretende informação mais pormenorizada, pode aceder à nossa Política de Cookies.