Alerta do FBI: porque deve deixar de digitalizar códigos QR ao acaso em 2026

Este alerta não é novo, mas agora é ainda mais sério. No início deste mês, o FBI emitiu um alerta claro: as campanhas de phishing com recurso a códigos QR continuam ativas e cada vez mais eficazes. A técnica é conhecida como Quishing e explora um ponto cego nos atuais sistemas de segurança do correio eletrónico.

O QR code como atalho perigoso

Nos ambientes profissionais, os e-mails são hoje analisados ao detalhe. Filtros avançados inspecionam links, detetam redirecionamentos suspeitos e avaliam a linguagem usada. O problema surge quando o atacante substitui o link visível por um simples QR code.

O utilizador vê apenas uma imagem, considera-a prática, pega no smartphone e digitaliza. Nesse momento, sem se aperceber, é redirecionado para uma página falsa onde introduz credenciais que seguem diretamente para um servidor controlado por um cibercriminoso.

Como o Quishing contorna as defesas

O FBI explica que os atacantes enviam mensagens aparentemente legítimas. Convites para reuniões Zoom, partilha de percursos no Google Maps ou pedidos para instalar módulos adicionais em ferramentas de trabalho são exemplos comuns. Nada levanta suspeitas.

Como não existe um URL visível, os sistemas de segurança não têm o que analisar. O ataque deixa de passar pelo navegador do computador e ocorre no smartphone, muitas vezes menos protegido e menos monitorizado.

Quishing (phishing de código QR) é um ataque que usa códigos QR maliciosos para induzir as pessoas a visitar sites falsos, descarregar malware ou fornecer dados confidenciais, como passwords ou informações financeiras, explorando a confiança na conveniência do código QR, geralmente colocando códigos falsos sobre os legítimos ou incorporando-os em e-mails/anúncios.

Páginas falsas quase perfeitas

Depois do scan, o telefone apresenta uma página que imita com grande rigor o serviço mencionado no e-mail. Logótipos, cores e disposição gráfica são reproduzidos com precisão. No ecrã reduzido do telemóvel, os detalhes que poderiam denunciar a fraude passam despercebidos.

O utilizador introduz os dados de acesso e, em segundos, as credenciais são capturadas. O FBI sublinha que esta simplicidade é precisamente o que torna o Quishing tão eficaz.

Campanhas bem organizadas e objetivos claros

Ao contrário do que se poderia pensar, estas campanhas não são amadoras. Os atacantes criam infraestruturas temporárias, ativas por curtos períodos, e mudam frequentemente de servidores. As páginas falsas desaparecem assim que a campanha termina, dificultando a resposta das equipas de segurança.

Os alvos são, sobretudo, acessos profissionais: Microsoft 365, portais internos, plataformas colaborativas e serviços cloud. Em alguns casos, os QR codes solicitam também códigos de validação, dados pessoais ou confirmações de identidade, ampliando o impacto do ataque.

Um risco crescente no contexto profissional

Uma vez na posse das credenciais, o atacante pode aceder a e-mails, documentos internos e ferramentas partilhadas. Esses acessos são frequentemente usados para lançar novas vagas de ataques, agora a partir de contas legítimas da própria organização, aumentando exponencialmente a credibilidade da fraude.

Segundo o The Register, várias campanhas deste tipo foram associadas a grupos norte-coreanos ligados a operações de ciberespionagem, o que reforça a gravidade do alerta.

A mensagem do FBI

A recomendação é simples, mas crucial: não digitalizar códigos QR recebidos por e-mail sem confirmar a sua origem por outro canal.

O gesto rápido e aparentemente inofensivo tornou-se um dos vetores mais eficazes do phishing moderno.