O FBI (Federal Bureau of Investigation) emitiu um alerta sobre uma ameaça cibernética crescente que transforma códigos QR comuns em ferramentas de espionagem.
Segundo o órgão, um grupo de hackers patrocinado pelo governo da Coreia do Norte tem usado uma técnica chamada "quishing" para atacar cidadãos nos Estados Unidos.
O objetivo é simples: enganar a vítima para que escaneie um código QR que redireciona para um site malicioso.
A partir daí, os criminosos podem roubar credenciais de acesso, instalar malware ou coletar dados do dispositivo sem que o usuário perceba.
Quishing é a abreviação de QR code phishing.
Em vez de clicar em um link suspeito em um e-mail, a vítima escaneia um QR code que oculta o destino real.
Embora o código QR em si não represente perigo, o link embutido nele pode levar a páginas falsas de login, downloads de malware ou sites de rastreamento.
Por ser uma ferramenta muito usada e ágil, as pessoas tendem a escanear códigos QR sem pensar duas vezes — e é justamente nessa pressa que os atacantes apostam.
O FBI relaciona essa atividade ao grupo Kimsuky, que atua como braço de ciberespionagem da Coreia do Norte há anos.
A novidade está no método de ataque: desde maio de 2025, o grupo tem usado códigos QR para aplicar esses golpes.
Um dos exemplos apresentados envolvia criminosos se passando por conselheiros de política externa e enviando e-mails a líderes de think tanks com um QR code que levava a questionários falsos para coleta de informações.
Quando a vítima acessa esses sites, pode ser solicitada a baixar arquivos infectados ou direcionada a páginas que simulam portais de login de serviços populares como Okta, Microsoft 365 ou VPNs.
Mesmo sem preencher formulários, o site pode coletar dados do dispositivo, como endereço IP, sistema operacional, tipo de navegador e localização aproximada — informações usadas para criar perfis detalhados dos alvos.
Essas campanhas são classificadas pelo FBI como spear phishing — isto é, ataques altamente direcionados.
Os e-mails são cuidadosamente elaborados para parecerem relevantes e confiáveis, o que aumenta as chances de sucesso.
Profissionais, pesquisadores, executivos e quem atua em áreas de tecnologia ou políticas públicas estão entre os principais alvos.
Atualmente, códigos QR estão por toda parte: em restaurantes, estacionamentos, ingressos e anúncios.
Com a popularidade crescente, aumentam também as possibilidades de abuso.
Os criminosos sabem que a maioria das pessoas escaneia automaticamente, reforçando a importância da cautela.
Uma das melhores defesas contra o quishing é desacelerar e pensar antes de escanear.
Diferentemente de links em texto, códigos QR não exibem a URL diretamente; assim, verificações adicionais podem evitar problemas.
Recomenda-se tratar códigos QR como links recebidos por e-mail: se você não esperava por aquele código, não o escaneie.
Mensagens enviadas por e-mail, SMS ou apps de mensagens são portas comuns para ataques de quishing, que exploram a curiosidade e a sensação de urgência para induzir ações rápidas.
Sempre confirme a origem do QR code.
Se a mensagem parecer vir de um colega, fornecedor ou organização, entre em contato por outro canal antes de escanear.
Um telefonema rápido ou uma mensagem direta pode barrar uma tentativa de phishing.
Sites de phishing via QR code frequentemente simulam páginas de login móvel com o intuito de capturar nomes de usuário e senhas.
Ao cair em uma dessas páginas, o ideal é fechar imediatamente e acessar o serviço diretamente pelo navegador ou app oficial.
Outro cuidado importante é observar o endereço da página no navegador.
Erros de digitação, palavras extras ou domínios incomuns indicam, geralmente, fraude.
Instalar um antivírus robusto oferece uma camada extra de proteção contra quishing.
Essas ferramentas bloqueiam sites maliciosos, impedem downloads suspeitos e alertam antes do carregamento de páginas perigosas — especialmente em dispositivos móveis, onde os QR codes são mais usados.
Além disso, serviços de remoção de dados ajudam a reduzir a quantidade de informações pessoais disponíveis online, dificultando que atacantes criem perfis precisos para ataques direcionados.
Embora nenhum serviço garanta a exclusão completa dos seus dados, eles monitoram e removem informações pessoais de centenas de sites constantemente, aumentando sua segurança e privacidade.
Nunca baixe arquivos a partir de links em códigos QR sem absoluta certeza de sua origem.
Malware instalado dessa forma pode agir silenciosamente, instalando espiões ou ferramentas de acesso remoto sem avisos claros.
Códigos QR oferecem praticidade, mas essa facilidade pode baixar o nível de atenção.
Como alerta o FBI, criminosos evoluem e usam ferramentas comuns para aplicar golpes sofisticados.
Um momento de verificação pode evitar prejuízos que duram semanas ou meses.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...