Quishing (phishing por codigo QR)
O que é Quishing (phishing por codigo QR)?
Quishing (phishing por codigo QR)Tecnica de phishing que usa um codigo QR em vez de um link clicavel para levar a vitima a uma pagina de captura de credenciais ou malware.
O quishing - phishing por QR - coloca um codigo QR malicioso num e-mail, PDF, cartaz, parquimetro ou folheto de restaurante. Quando a vitima o digitaliza com a camara do telefone, o dispositivo abre uma URL controlada pelo atacante fora dos controlos do gateway de e-mail corporativo e do browser do endpoint. Como os QR sao imagens, os filtros tradicionais de URL e as verificacoes DMARC costumam falhar, e os telefones pessoais sao tipicamente nao geridos. O quishing disparou em 2023 como forma de contornar o reescrever de safe-links em campanhas contra o Microsoft 365 e anexar PDFs falsos de "registo MFA". Defesas: filtragem de e-mail consciente de QR, MDM movel com protecao web, formacao e verificar sempre o URL de cada QR antes de inserir credenciais.
● Exemplos
- 01
Um PDF de e-mail pede para digitalizar um QR para "reautenticar o Microsoft 365" e redireciona para um login falso do Entra ID.
- 02
Um autocolante fraudulento colocado sobre o QR de um parquimetro municipal redireciona o pagamento para a carteira do atacante.
● Perguntas frequentes
O que é Quishing (phishing por codigo QR)?
Tecnica de phishing que usa um codigo QR em vez de um link clicavel para levar a vitima a uma pagina de captura de credenciais ou malware. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Quishing (phishing por codigo QR)?
Tecnica de phishing que usa um codigo QR em vez de um link clicavel para levar a vitima a uma pagina de captura de credenciais ou malware.
Como funciona Quishing (phishing por codigo QR)?
O quishing - phishing por QR - coloca um codigo QR malicioso num e-mail, PDF, cartaz, parquimetro ou folheto de restaurante. Quando a vitima o digitaliza com a camara do telefone, o dispositivo abre uma URL controlada pelo atacante fora dos controlos do gateway de e-mail corporativo e do browser do endpoint. Como os QR sao imagens, os filtros tradicionais de URL e as verificacoes DMARC costumam falhar, e os telefones pessoais sao tipicamente nao geridos. O quishing disparou em 2023 como forma de contornar o reescrever de safe-links em campanhas contra o Microsoft 365 e anexar PDFs falsos de "registo MFA". Defesas: filtragem de e-mail consciente de QR, MDM movel com protecao web, formacao e verificar sempre o URL de cada QR antes de inserir credenciais.
Como se defender contra Quishing (phishing por codigo QR)?
As defesas contra Quishing (phishing por codigo QR) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Quishing (phishing por codigo QR)?
Nomes alternativos comuns: Phishing QR, QRishing.
● Termos relacionados
- attacks№ 821
Phishing
Ataque de engenharia social no qual o atacante se faz passar por uma entidade de confiança para enganar a vítima e obter credenciais, transferir dinheiro ou executar malware.
- attacks№ 1059
Smishing
Phishing entregue por SMS ou outras aplicações de mensagens móveis para induzir a vítima a clicar em links maliciosos, ligar para números fraudulentos ou divulgar dados.
- attacks№ 140
Callback phishing
Phishing em duas fases em que um e-mail de aparencia inocente convence a vitima a ligar para um numero, onde um operador humano a guia para instalar malware.
- identity-access№ 230
Recolha de credenciais
Recolha em larga escala de utilizadores, palavras-passe, tokens e outros segredos de autenticação, geralmente para posterior tomada de conta ou venda.
- attacks№ 1065
Engenharia social
Manipulação psicológica que leva pessoas a executar ações ou a revelar informações confidenciais em benefício do atacante.