Os ataques de phishing evoluíram para uma nova fase, agora utilizando códigos QR para enganar as vítimas. Esse método, chamado de “Phishing 2.0”, contorna muitas proteções de segurança e se torna mais convincente ao levar a ação para dispositivos pessoais, diz relatório da Palo Alto Networks.
Leia também
App Store promoverá apps de desenvolvedores
Dispositivos brasileiros têm 192 incidentes/mês
Os hackers enviam e-mails falsos disfarçados de notificações legítimas de serviços como DocuSign ou Microsoft 365, contendo um código QR. Quando a vítima escaneia o código, é redirecionada para uma página falsa de login, onde seu e-mail já está preenchido — restando apenas inserir a senha.
Para aumentar a credibilidade, os criminosos utilizam logotipos empresariais, remetentes falsificados e elementos de comunicação corporativa. Além disso, usam redirecionamentos através de sites legítimos, como o Google, dificultando a detecção por filtros automáticos de segurança.
Os ataques também incluem mecanismos de verificação para evitar detecção por bots e scanners de segurança. Se o acesso for considerado suspeito, a vítima pode ser redirecionada para uma página de erro do Google, dificultando a análise da infraestrutura maliciosa.
A técnica tem sido usada em setores como saúde, energia, educação e finanças, e se torna cada vez mais sofisticada. Como os links maliciosos agora estão escondidos atrás de imagens, os métodos tradicionais de verificação não são suficientes. Usuários devem ter atenção redobrada antes de escanear códigos QR, especialmente quando recebidos por e-mail.
