{"id":42325,"date":"2026-06-17T17:16:28","date_gmt":"2026-06-17T15:16:28","guid":{"rendered":"https:\/\/smartfense.com\/?p=42325"},"modified":"2026-06-18T10:25:23","modified_gmt":"2026-06-18T08:25:23","slug":"qrishing-phishing-qr-como-simular","status":"publish","type":"post","link":"https:\/\/smartfense.com\/pt-pt\/blog-pt-pt\/qrishing-phishing-qr-como-simular\/","title":{"rendered":"Qrishing: o que \u00e9 o phishing por QR e como simul\u00e1-lo na tua organiza\u00e7\u00e3o"},"content":{"rendered":"

H\u00e1 um cartaz com um c\u00f3digo QR colado por cima de outro. \u00c0 primeira vista n\u00e3o se nota, o autocolante novo tapa o original e leva para outro lado. Quem o digitaliza pensa que est\u00e1 a pagar o estacionamento ou a abrir o menu do restaurante, mas acabou de entregar os seus dados numa p\u00e1gina falsa.<\/p>\n

Isto \u00e9 qrishing, tamb\u00e9m escrito quishing, e \u00e9 um dos vetores que mais cresceu no \u00faltimo ano. A parte inc\u00f3moda para a equipa de seguran\u00e7a \u00e9 que quase tudo o que est\u00e1 montado para travar o phishing por email n\u00e3o o v\u00ea chegar.<\/p>\n

O que \u00e9 o qrishing?<\/h2>\n

O qrishing \u00e9 uma variante de phishing que usa um c\u00f3digo QR como isco. Em vez de uma liga\u00e7\u00e3o em texto, o atacante esconde o URL malicioso dentro de um QR para que a pessoa o digitalize e acabe numa p\u00e1gina fraudulenta.<\/p>\n

O nome nasce da jun\u00e7\u00e3o de QR e phishing, e vais encontr\u00e1-lo escrito das duas formas, qrishing e quishing, consoante a fonte. O objetivo \u00e9 o do costume (roubar credenciais, dados de pagamento ou levar a instalar algo no dispositivo), mas muda o inv\u00f3lucro, e essa mudan\u00e7a \u00e9 precisamente o que o torna eficaz.<\/p>\n

Como funciona um ataque de qrishing?<\/h2>\n

O esquema \u00e9 simples, e \u00e9 por isso que funciona.<\/p>\n

O atacante gera um c\u00f3digo QR falso que aponta para uma p\u00e1gina sob o seu controlo, uma c\u00f3pia do portal de acesso de um banco, do email corporativo ou de uma plataforma de pagamentos. Depois coloca-o onde as pessoas baixam a guarda: colado por cima de um QR leg\u00edtimo num espa\u00e7o p\u00fablico, dentro de um email ou PDF com aspeto oficial, ou impresso numa carta que aparenta vir de um fornecedor.<\/p>\n

A pessoa digitaliza, chega \u00e0 p\u00e1gina falsa, escreve as suas credenciais e entrega-as ao atacante sem dar conta. Como o QR abre quase sempre no telem\u00f3vel, o salto do ambiente corporativo para o dispositivo pessoal \u00e9 imediato.<\/p>\n

Porque \u00e9 que escapa aos filtros tradicionais?<\/h2>\n

Aqui est\u00e1 o ponto que mais preocupa. Um filtro de email analisa liga\u00e7\u00f5es e anexos, mas um c\u00f3digo QR viaja como imagem. Para o filtro \u00e9 um quadrado de p\u00edxeis, n\u00e3o um endere\u00e7o que possa verificar contra listas de reputa\u00e7\u00e3o.<\/p>\n

E h\u00e1 um segundo problema. O QR \u00e9 quase sempre digitalizado com o telem\u00f3vel pessoal, fora da rede corporativa e dos seus controlos. A equipa de seguran\u00e7a perde visibilidade precisamente no momento da digitaliza\u00e7\u00e3o. \u00c9 a mesma lacuna que abordamos em o que o teu SIEM n\u00e3o v\u00ea<\/a>, onde o comportamento da pessoa acontece num s\u00edtio que as ferramentas tradicionais n\u00e3o alcan\u00e7am.<\/p>\n

Por isso bloquear n\u00e3o chega. Se a defesa depender de um sistema que intercete o ataque, o qrishing passa por baixo.<\/p>\n

Como se simula o qrishing?<\/h2>\n

A forma de saber qu\u00e3o exposta est\u00e1 a tua organiza\u00e7\u00e3o \u00e9 provocar um ataque controlado antes de chegar o real. Uma simula\u00e7\u00e3o de qrishing reproduz o cen\u00e1rio num ambiente seguro e mede o que acontece.<\/p>\n

Na pr\u00e1tica, a campanha inclui um c\u00f3digo QR que leva a uma p\u00e1gina de destino pr\u00f3pria e inofensiva, em vez de um site fraudulento. Quando algu\u00e9m o digitaliza n\u00e3o entrega nada; apenas fica registado que digitalizou, e esse dado alimenta o indicador de risco dessa pessoa. Com isso, a organiza\u00e7\u00e3o sabe onde refor\u00e7ar.<\/p>\n

O que distingue uma boa simula\u00e7\u00e3o est\u00e1 em como \u00e9 desenhada, algo que desenvolvemos em como se desenha uma campanha de simula\u00e7\u00e3o que muda o comportamento<\/a>. O QR \u00e9 mais um canal dentro dessa l\u00f3gica, n\u00e3o um truque isolado.<\/p>\n

Como se forma as pessoas contra o qrishing?<\/h2>\n

A tecnologia ajuda, mas perante o qrishing a \u00faltima decis\u00e3o \u00e9 sempre tomada por uma pessoa com o telem\u00f3vel na m\u00e3o. Vale a pena trabalhar tr\u00eas reflexos:<\/p>\n