Quishing
O que é Quishing?
QuishingPhishing que esconde um URL malicioso dentro de um código QR, levando a vítima a digitalizá-lo com o telemóvel e visitar uma página de roubo de credenciais ou malware fora das defesas corporativas.
O quishing (phishing por código QR) é um ataque de engenharia social em que o link malicioso é codificado como um código QR em vez de escrito como texto visível. Como o URL está incorporado numa imagem, costuma escapar aos analisadores de links de e-mail e às gateways de e-mail seguras, e a digitalização normalmente transfere a vítima para um dispositivo móvel pessoal com controlos mais fracos. Iscos comuns incluem avisos falsos de configuração da autenticação multifator, pedidos de entrega de encomendas ou pagamento de estacionamento, e autocolantes colocados sobre códigos legítimos em cartazes ou mesas de restaurante. As defesas incluem filtragem de e-mail que analisa imagens e QR, bloqueio de domínios maliciosos, autenticação FIDO2 resistente a phishing, defesa móvel contra ameaças e sensibilização dos utilizadores.
● Exemplos
- 01
Um e-mail que se faz passar pela equipa de TI pede aos colaboradores que digitalizem um código QR para "reativar" a MFA do Microsoft 365, levando a uma página de início de sessão falsa que captura credenciais e tokens de sessão.
- 02
Os atacantes colam autocolantes de QR fraudulentos sobre os legítimos nos parquímetros para que os condutores paguem num site falso em vez de à câmara municipal.
● Perguntas frequentes
O que é Quishing?
Phishing que esconde um URL malicioso dentro de um código QR, levando a vítima a digitalizá-lo com o telemóvel e visitar uma página de roubo de credenciais ou malware fora das defesas corporativas. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Quishing?
Phishing que esconde um URL malicioso dentro de um código QR, levando a vítima a digitalizá-lo com o telemóvel e visitar uma página de roubo de credenciais ou malware fora das defesas corporativas.
Como funciona Quishing?
O quishing (phishing por código QR) é um ataque de engenharia social em que o link malicioso é codificado como um código QR em vez de escrito como texto visível. Como o URL está incorporado numa imagem, costuma escapar aos analisadores de links de e-mail e às gateways de e-mail seguras, e a digitalização normalmente transfere a vítima para um dispositivo móvel pessoal com controlos mais fracos. Iscos comuns incluem avisos falsos de configuração da autenticação multifator, pedidos de entrega de encomendas ou pagamento de estacionamento, e autocolantes colocados sobre códigos legítimos em cartazes ou mesas de restaurante. As defesas incluem filtragem de e-mail que analisa imagens e QR, bloqueio de domínios maliciosos, autenticação FIDO2 resistente a phishing, defesa móvel contra ameaças e sensibilização dos utilizadores.
Como se defender contra Quishing?
As defesas contra Quishing costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Quishing?
Nomes alternativos comuns: Phishing por código QR, Phishing QR.
● Termos relacionados
- attacks№ 917
Phishing
Ataque de engenharia social no qual o atacante se faz passar por uma entidade de confiança para enganar a vítima e obter credenciais, transferir dinheiro ou executar malware.
- attacks№ 1175
Smishing
Phishing entregue por SMS ou outras aplicações de mensagens móveis para induzir a vítima a clicar em links maliciosos, ligar para números fraudulentos ou divulgar dados.
- attacks№ 1333
Vishing
Phishing realizado por canais de voz — chamadas telefónicas ou VoIP — para manipular a vítima a divulgar credenciais, autorizar pagamentos ou conceder acesso remoto.
- attacks№ 1192
Spear phishing
Ataque de phishing direcionado e personalizado contra uma pessoa ou organização específica, usando dados pessoais ou profissionais recolhidos previamente.
- attacks№ 1183
Engenharia social
Manipulação psicológica que leva pessoas a executar ações ou a revelar informações confidenciais em benefício do atacante.
- identity-access№ 253
Recolha de credenciais
Recolha em larga escala de utilizadores, palavras-passe, tokens e outros segredos de autenticação, geralmente para posterior tomada de conta ou venda.