Voltar

Criar código QR

Estatísticas alarmantes de phishing de códigos QR que você deve conhecer em 2026

Por:  Ashley P.Atualizar:  May 06, 2026
Estatísticas alarmantes de phishing de códigos QR que você deve conhecer em 2026

Esta compilação de estatísticas de phishing de códigos QR lança luz sobre as preocupantes ameaças de segurança que o quishing impõe às empresas e indivíduos.

Ninguém pode negar os benefícios de usar um código de Resposta Rápida (QR), e por mais que detestemos admitir, os criminosos online também sabem disso.

Mas, se você se familiarizar com as ameaças de cibersegurança e adotar medidas de segurança adequadas, você pode dificultar o sucesso delas.

Com isso em mente, reunimos fatos e tendências importantes sobre phishing de códigos QR dos quais todos devem ficar atentos em 2026.

Aprenda o que essas estatísticas dizem, os casos do mundo real, as ações que você pode tomar e o melhor gerador de QR code para ajudá-lo a criar códigos QR à prova de falhas.

Índice

    1. O que torna o quishing (phishing de código QR) tão perigoso?
    2. As estatísticas e tendências mais recentes de phishing de códigos QR
    3. Exemplos de códigos de phishing da vida real usando códigos QR
    4. Os códigos QR são seguros?
    5. O que você deve fazer para evitar ataques de phishing
    6. Crie códigos QR seguros e confiáveis com o QR TIGER

        O que torna o quishing (phishing de código QR) tão perigoso?

        Quishing

        Phishing é um ciberataque malicioso que tem como objetivo roubar informações pessoais, como nomes de usuário online, senhas e até informações financeiras, para fins nefastos.

        Esse tipo de ataque se baseia na decepção, fazendo com que a vítima forneça esses detalhes de forma voluntária, mas sem saber.

        Hoje, uma nova técnica para esses cibercriminosos surgiu: quishing.

        Quishing é o ato de phishing usando códigos QR códigos de barras bidimensionais que uma pessoa pode facilmente escanear usando um smartphone.

        Os códigos QR podem ser perigosos? De forma alguma. No entanto, dependendo do motivo do criador, o link ou conteúdo embutido pode ser prejudicial para outras pessoas.

        É ainda mais desafiador de identificar. Esquema de código QR pode ser transmitido por e-mail, levando os destinatários a um documento com um código QR que redireciona para um site malicioso que acaba roubando suas informações.

        É por isso que o quishing é tão perigoso. Os maus atores podem simplesmente cobrir códigos QR legítimos com falsos e até mesmo explorar ansiedades como como empréstimos afetam a classificação de créditopara persuadir os destinatários a escaneá-los.

        De acordo com a Hoxhunt, os incidentes de quishing estão aumentando em 25% ao ano.

        QR code phishing statistics

        Os códigos QR são ferramentas práticas para compartilhar informações, mas com ciberataques como o quishing, um código QR malicioso ameaça seriamente a pessoa comum.

        Para as empresas, o phishing é uma preocupação importante que pode custar-lhes milhares ou até milhões para resolver. Para contextualizar, dados da IBM indicam que violações resultantes de phishing por código QR podem custar em média US$ 4,45 milhões.

        Se você quer evitar se tornar um alvo, é importante familiarize-se com cibersegurança e entender como esses ataques normalmente se desenrolam.

        Vamos examinar as estatísticas mais recentes que comprovam isso.

        Quishing é o vetor de ataque de crescimento mais rápido no início de 2026.

        Durante o primeiro trimestre de 2026, a Microsoft Threat Intelligence e a Equipe de Pesquisa de Segurança do Microsoft Defender descobriram que e-mails de phishing representaram 78% da atividade total de e-mails, com códigos QR de phishing vendo um aumento no uso malicioso.

        Em janeiro, 7,6 milhões desses ataques usaram códigos QR para comprometer e-mails. Esse número aumentaria para 18,7 milhões em março, marcando um aumento de 146% no uso.

        Muitos desses códigos QR são encontrados em arquivos anexados a e-mails. De acordo com os dados, 65% dos e-mails com anexos em janeiro usam arquivos PDF para entregar códigos QR maliciosos. Por outro lado, arquivos DOC e DOCX foram usados em 31% dos e-mails de phishing no mesmo mês.

        Esses números mudariam em março, já que os arquivos PDF com códigos QR viram um aumento de 70% no uso, enquanto o uso de arquivos DOC e DOCX caiu para 24%.

        Atacantes também recorreram a anexar códigos QR diretamente no corpo do e-mail, um método que viu um aumento de 336% em março. No entanto, os dados também mostram que esse vetor representa apenas 5% de todas as tentativas de phishing detectadas.

        O aumento nas tentativas de quishing destaca um desafio nos sistemas de segurança de e-mail atuais. Embora sejam eficazes em detectar ameaças de texto e links, os atacantes perceberam que não são tão confiáveis em detectar links de phishing em conteúdo baseado em imagens, como códigos QR.

        Os ataques de phishing de código QR aumentaram para 51%

        De acordo com um estudo da ReliaQuest, os ataques de phishing por código QR aumentaram para 51% em setembro de 2023. Isso representou um aumento significativo em comparação com o valor acumulado de janeiro a agosto de 2023.

        Além disso, 12% dos incidentes de quishing observados envolveram esconder o código QR em um arquivo PDF ou JPEG anexado a um e-mail.

        Esses ataques conseguiram passar pelos filtros de email porque o email malicioso frequentemente não tinha elementos clicáveis no corpo da mensagem, o que os filtros geralmente permitem.

        Houve mais de 8.000 incidentes de phishing em 3 meses em 2023

        Destacando a dependência de códigos QR por cibercriminosos e golpistas, a Keepnet descobriu que 8.878 incidentes de quishing foram relatados no período de 3 meses em 2023.

        Observado de junho a agosto, o primeiro mês foi quando a tendência atingiu o pico, com um total de 5.063 casos relatados.

        Quase 2% de todos os códigos QR escaneados são maliciosos

        Uma análise recente da Keepnet revelou que quase 2% de todos os códigos QR escaneados foram considerados maliciosos. Isso inclui códigos QR de phishing, bem como aqueles embutidos com links para malware e vírus.

        Pergunte a si mesmo: "Quantos códigos QR são possíveis de criar?" e você pode chegar a um número na casa dos milhões. A verdade é muito maior do que isso, tanto que o número não caberia em uma calculadora.

        Não chegamos nem perto de atingir esse número, então 2% é insignificante no grande esquema das coisas.

        Ainda, os efeitos de códigos QR maliciosos são muito prejudiciais para serem ignorados. À medida que este tipo de código de barras se torna cada vez mais popular em diferentes aplicações, podemos esperar que esse número também cresça.

        Apenas 36% dos incidentes de phishing de código QR foram identificados e reportados com precisão.

        Apesar de um número impressionante de incidentes de phishing de código QR nas estatísticas mais recentes, os relatórios afirmam que apenas 36% deles são identificados e reportados com precisão.

        Esta baixa taxa de detecção e relato é uma lacuna na segurança que qualquer empresa deve abordar.

        Existem diferentes tipos de ataques de phishing, mas o método mais popular é através de e-mails. De acordo com mais dados da Keepnet, 26% dos links maliciosos em campanhas de phishing por e-mail estavam embutidos em um código QR.

        Com tantos links incorporados em códigos QR, é óbvio que os criminosos estão usando sua eficácia para causar danos a outras pessoas.

        Isso é respaldado por um aumento de 587% nos incidentes de phishing em 2023. Durante esse período, 22% de todos os ataques de phishing usaram códigos QR.

        Meio milhão de e-mails com códigos QR de phishing estão incorporados em documentos PDF

        Esta descoberta impressionante foi feita pelos pesquisadores de inteligência de ameaças da Barracuda. Os arquivos PDF normalmente tinham uma ou duas páginas, e os próprios e-mails não continham outros links externos ou documentos incorporados.

        Quase 90% dos ataques de código QR têm como objetivo roubar informações de login e outros dados sensíveis.

        Purpose of QR code attacks

        Enquanto existem muitas maneiras criativas de causar danos com códigos QR, a Keepnet afirma que cerca de 89,3% dos ataques detectados são feitos para capturar dados pessoais.

        A razão para isso pode residir no fato de que os códigos QR são fáceis e convenientes de usar. Muitas pessoas podem esquecer de verificar o link antes de serem redirecionadas.

        Com a maioria dos ataques de código QR sendo tentativas de phishing, isso destaca a necessidade de mais conhecimento e consciência sobre a segurança de códigos QR e o estabelecimento de medidas de segurança aprimoradas.

        Páginas de banco online também são propensas a ataques de phishing

        Os gastos globais com códigos QR devem ultrapassar US$ 3 trilhões até 2025, o que significa que podemos esperar um aumento nas tentativas de quishing usando pagamentos por código QR.

        Isso é confirmado pelo mesmo estudo da ReliaQuest, que descobriu que 18% dos incidentes de phishing envolviam ladrões usando páginas de bancos online para roubar informações.

        Se estiver a usar códigos QR para pagar em lojas físicas e online, verifique se há sinais de adulteração no código QR. Se tiver a opção, peça à loja para lhe fornecer diretamente o número da conta e o nome completo do titular da conta para transações seguras.

        Executivos de negócios encontram ataques de phishing 42 vezes mais do que os funcionários

        De acordo com os dados de 2023 da Abnormal Security, os executivos têm 42 vezes mais probabilidade de serem alvo de e-mails de phishing do que seus funcionários.

        Isso nos diz que os cibercriminosos sabem que visar executivos pode dar a eles acesso a informações sensíveis e lucrativas e muito poder dentro das empresas.

        Isso também significa que pode haver vulnerabilidades na segurança de uma organização que os executivos devem encontrar e corrigir.

        Microsoft e Adobe estão entre as marcas que estão sendo falsificadas para phishing.

        Pesquisadores de inteligência de ameaças da Barracuda também descobriram que na maioria dos incidentes analisados, os cibercriminosos se passaram por empresas conhecidas como Microsoft e Adobe.

        Mais da metade dos ataques envolveram a falsificação da Microsoft. Os atacantes imitam a identidade visual da empresa usando seu logotipo, fonte e avisos legais.

        Outros incidentes envolveram golpistas se passando pelo departamento de recursos humanos da empresa atual da vítima.

        A autenticação de vários fatores pode ser o padrão ouro na segurança de identidades digitais, mas um único erro ao clicar em um e-mail e escanear um código QR de um aviso de MFA fraudulento permite que os atacantes ignorem essa proteção.

        De acordo com a Abnormal, 27% significativos das tentativas de quishing usam alertas falsos de MFA para enganar os usuários a escanear um código QR para reautenticação.

        56% dos emails de quishing envolveram redefinições de autenticação em duas etapas (2FA) da Microsoft

        De acordo com um estudo da ReliaQuest em setembro de 2023, a forma mais popular de quishing envolvia o envio de e-mails para redefinir ou ativar a autenticação de dois fatores (2FA) da Microsoft.

        Este ataque foi tão prevalente que representou mais da metade de todos os métodos usados no espaço de um ano.

        Notificações falsas de autenticação em duas etapas podem representar uma séria ameaça à sua segurança. Portanto, se você receber e-mails inoportunos como este, entre em contato imediatamente com a Microsoft ou outros provedores de serviços aos quais você esteja inscrito.

        Atores quishing imitam e-mails relacionados a RH e TI

        Um relatório de phishing da KnowBe4 descobriu que 48,6% dos e-mails de phishing relacionados a RH e TI são os mais letais para profissionais.

        A maioria desses e-mails que imitam os de RH e administradores usam códigos QR.

        Por exemplo, os atores de ameaças as usam para direcionar os destinatários a assinar urgentemente um documento, convidá-los para uma reunião no Zoom ou baixar um arquivo para revisões de políticas.

        Os códigos QR que contêm links maliciosos podem levar a ciberataques como comprometimento de e-mail empresarial (BEC), hacking de sistemas e ransomware.

        O setor de energia recebe 29% dos e-mails de phishing, enquanto o varejo continua sendo o mais vulnerável.

        Target industry of QR scammers

        Embora qualquer indústria possa estar em risco de ataques de phishing, duas parecem ser alvos frequentes.

        O primeiro é a indústria de energia. De acordo com os dados, o setor de energia recebe 29% de mais de 1.000 e-mails de phishing infectados por malware.

        A segunda indústria vulnerável ao quishing é o setor varejista. A análise mostra que esta indústria apresenta a maior taxa de erro, o que significa que os funcionários do varejo frequentemente falham em detectar e relatar códigos QR maliciosos às autoridades.

        Outros setores que são alvos populares de campanhas de phishing são manufatura, seguros, tecnologia e serviços financeiros.

        Um alto número de incidentes dentro dessas indústrias indica que visá-las tem se mostrado lucrativo para muitos cibercriminosos.

        Exemplos de códigos de phishing da vida real usando códigos QR

        Apesar de uma baixa taxa de detecção e relato, milhares de incidentes ainda são descobertos. No entanto, não saber como esses golpes podem acontecer só ajuda os criminosos a obterem mais informações pessoais de vítimas inocentes.

        Coletamos exemplos importantes de phishing de QR code dos quais você pode aprender e evitar ao se deparar com um.

        Multas falsas de estacionamento em São Francisco

        Fake QR code ticket

        No segundo trimestre de 2023, os cidadãos de São Francisco receberam multas de estacionamento em seus veículos.

        Estes bilhetes apresentavam um código QR que direcionava os scanners para uma página da Agência de Transporte Municipal de São Francisco (SFMTA) onde os motoristas poderiam pagar suas multas imediatamente.

        Infelizmente, a SFMTA não utilizou códigos QR dessa maneira.

        Pior, os golpistas replicaram o site oficial da SFMTA, fazendo com que o falso parecesse legítimo.

        Enquanto a agência não pôde confirmar o número de relatórios recebidos, eles instaram os motoristas a verificar se uma multa é real ao procurá-la em seu site oficial.

        Código QR infectado por malware de loja de chá

        Outro golpe de phishing usando um código QR foi um caso em Singapura, onde uma mulher de 60 anos perdeu $20.000 depois de preencher uma pesquisa online falsa.

        De acordo com a vítima, esta pesquisa deveria ser para um copo de chá de leite grátis em uma loja local de bubble tea. O código estava colado na vitrine da loja, fazendo parecer uma promoção da própria empresa.

        O que é único sobre esse golpe é que ele baixa um aplicativo de terceiros no telefone após escanear o código QR. Este aplicativo solicitará acesso ao microfone e à câmera do telefone.

        O aplicativo malicioso também solicitou acesso ao Serviço de Acessibilidade do Android, um aplicativo Android dedicado a auxiliar usuários com deficiências. O acesso a este aplicativo permite que o golpista visualize e controle a tela da vítima.

        De acordo com o Sr. Beaver Chua, chefe do departamento de combate a fraudes do OCBC Bank, o golpista esperaria a vítima usar o aplicativo de banco móvel e anotaria suas credenciais de login e senha.

        Com essa informação, o golpista só precisa assumir o controle do telefone no momento certo e transferir dinheiro da conta da vítima.

        QR codes para roubar credenciais na Universidade de Washington

        Em setembro de 2023, estudantes e professores da Universidade de Washington em St. Louis (WUSTL) se tornaram alvos de cibercriminosos que utilizaram códigos QR de phishing.

        De acordo com uma postagem de blog, a campanha de phishing usava e-mails com um código QR malicioso anexado. Quando escaneado, o código QR direcionava os membros da comunidade para uma página de login falsa do WUSTL Key.

        Mas como o golpista convenceria os usuários a escanear o código? Fazendo-os pensar que suas contas seriam encerradas se não o fizessem.

        Por parecer um e-mail oficial, é bastante fácil enganar os professores e alunos da WUSTL desavisados para manterem suas contas ao escanear o código.

        Felizmente, a equipe de segurança da informação da universidade informou a comunidade sobre o golpe, evitando que mais pessoas caíssem nele.

        Código QR malicioso cobrindo um legítimo em Teesside, Inglaterra

        Em novembro do mesmo ano, outro exemplo de código de phishing também foi lançado na Estação Thronaby em Teesside, Inglaterra. Assim como o código QR da pesquisa da loja de chá, resultou em pelo menos uma vítima perdendo milhares de seu dinheiro suado.

        O código QR foi colocado sobre um genuíno no estacionamento da estação. Quando a vítima, uma mulher de 71 anos que desejava permanecer anônima, escaneou um destes códigos QR falsos para pagar o estacionamento, ela inadvertidamente ofereceu suas informações bancárias aos golpistas.

        O banco dela bloqueou a transação. Infelizmente, os criminosos se passaram por funcionários do banco e a convenceram a fazer um empréstimo de £7.500.

        Depois, eles alteraram as informações bancárias dela, pediram novos cartões, acumularam dívidas que resultariam em uma perda total de £13.000 para a vítima e criaram uma conta bancária online.

        De acordo com a VirginMoney, o empréstimo da vítima seria eventualmente cancelado enquanto todas as transações fraudulentas eram reembolsadas.

        O código QR do email falso de expiração do 2FA da Microsoft

        Fake email QR code

        Este golpe é um exemplo clássico de como a indústria de energia é alvo de ataques de quishing.

        No mesmo mês do código QR falso de Teesside, a Microsoft enviou um e-mail para uma empresa do setor industrial e de energia. O e-mail afirmava que a autenticação em duas etapas (2FA) do destinatário estava prestes a expirar.

        De acordo com o e-mail, renovar essa medida de segurança teria exigido escanear o código QR anexado. Como a Microsoft não envia esse tipo de e-mail, ficou claro que esse e-mail tinha a intenção de coletar credenciais da empresa.

        A natureza fraudulenta do e-mail também era óbvia para os funcionários observadores graças aos vários erros gramaticais encontrados no texto. Nem mesmo um gerador de QR code com integração de logotipo pode salvar isso.

        Códigos QR ilegítimos do DocuSign

        Fake document QR code

        DocuSign é a plataforma número 1 para assinaturas eletrônicas. Infelizmente, isso também a tornou uma das favoritas entre cibercriminosos, especialmente aqueles que preferem usá-la para realizar golpes de phishing.

        Quando um ator mal-intencionado imita a plataforma da DocuSign para lançar ataques de phishing, eles geralmente copiam comunicações oficiais da empresa para fazer seus e-mails fraudulentos parecerem genuínos.

        E uma vez que os emails do DocuSign podem ser personalizados para se adequarem à marca que utiliza seus serviços, torna-se mais fácil mascarar as verdadeiras intenções do fraudador.

        Os códigos QR podem aprofundar a decepção ao "conceder" acesso ao documento que precisa ser assinado. Na verdade, o código QR envia os scanners para um site malicioso que captura qualquer informação pessoal inserida.

        Este método pode afetar seriamente a confiança das pessoas nos códigos QR, levando-as a questionar: "Os códigos QR são seguros?"

        Código QR do Malicious OneService Lite em Singapura

        Malicious QR code in singapore

        No início de 2023, o Escritório de Serviços Municipais (MSO) de Singapura começou a receber relatos de um código QR falso imitando o código QR legítimo do OneService Lite.

        OneService é uma plataforma lançada pelo governo de Singapura que ajuda os cidadãos a enviar seus feedbacks para um único portal. Isso facilita o processo de feedback, uma vez que os cidadãos interessados não precisam procurar qual agência ou conselho municipal contatar.

        Infelizmente, o código QR falso leva as pessoas a um formulário de feedback onde devem enviar suas informações pessoais.

        Isso levou o MSO a lançar investigações sobre o assunto. Eles e vários conselhos municipais também iniciaram verificações de cada código QR do OneService Lite e aconselharam o público a verificar o endereço da web do código QR antes de enviar qualquer informação.

        Os códigos QR são seguros?

        Com todas essas estatísticas e exemplos da vida real de quishing, é fácil pensar que os códigos QR são muito perigosos de usar. Mas isso não poderia estar mais longe da verdade.

        Enquanto os códigos QR podem fornecer acesso a links maliciosos, eles não prejudicam as pessoas. Assim como uma porta, o único propósito deles é permitir que você entre, mesmo que o "ambiente" que você está acessando possa ser perigoso.

        Com um gerador de código QR dinâmico online, você pode garantir códigos QR seguros e confiáveis. Os melhores frequentemente utilizam as ferramentas de segurança mais avançadas, como autenticação de dois fatores, auditorias internas e monitoramento 24/7.

        Como mais código QR seguro e estar seguro? Usando outro recurso dinâmico chamado proteção por senha. Os códigos QR dinâmicos são mais avançados, pois vêm com uma senha.

        Se a senha que você conhece não funcionar, você será impedido de acessar o conteúdo do código QR. Quando se trata de códigos QR falsos, isso manterá você seguro.

        Os scanners de códigos QR também mostram pré-visualizações dos links incorporados nos códigos QR, o que é mais uma camada de segurança que você pode usar para evitar ataques maliciosos.

        Para identificar um link seguro, procure por um símbolo de "cadeado" ao visualizá-lo. Esse símbolo significa que o link é criptografado e protegido por uma certificação Secure Sockets Layer (SSL).

        O que você deve fazer para evitar ataques de esmagamento

        Para se proteger de ataques de quishing, tenha em mente o seguinte antes de escanear códigos QR:

        • Evite escanear códigos QR localizados em áreas aleatórias ou suspeitas.
        • Se estiver em uma área pública, verifique sinais de adulteração no código QR.
        • Procure por indicadores comuns de golpes em e-mails que vêm com códigos QR (gramática ruim, erros de digitação, imagens borradas)
        • Se o código QR solicitar informações sensíveis, considere se é necessário obter o que o código deveria fornecer a você.
          Para aqueles que gerenciam suas finanças, entender a importância do orçamento é essencial, e você pode encontrar útil dicas de orçamento para ajudar a navegar por desafios financeiros.
        • Sempre verifique o endereço URL que a sua câmera ou scanner de código QR mostra depois de escanear um código QR. Se o link parecer suspeito, não acesse.

        Free ebooks for QR codes

        Crie códigos QR seguros e confiáveis com o QR TIGER

        Se estiver considerando usar códigos QR em sua vida pessoal ou profissional, você sempre deve garantir que os códigos que você gera sejam seguros e protegidos.

        Já cobrimos como fazer isso. O que você precisa fazer a seguir é encontrar uma plataforma de QR code segura, confiável e confiável.

        O sistema da QR TIGER está em conformidade com os regulamentos GDPR e CCPA e com os padrões de segurança da ISO-27001, proporcionando códigos QR seguros, editáveis e rastreáveis.

        Também oferecemos uma série de outras funcionalidades: proteção por senha para seus códigos QR e autenticação de dois fatores para sua conta. Com essas opções, você pode ter certeza de que suas digitalizações estão seguras conosco.

        Armado com estatísticas e exemplos-chave de phishing de códigos QR, seus códigos QR serão seguros de usar e confiáveis por todos. Brands using QR codes

        Recursos
        Como funcionam os códigos QR dinâmicos?
        Código QR de Múltiplos URLs
        Cartão de Visita Digital com Código QR
        Gerador em massa de Códigos QR
        Como criar um código QR para uma imagem
        Como criar um código QR para um vídeo
        Como criar um código QR para Google Form
        Como criar um código QR com logotipo
        Como rastrear um código QR com o Google Analytics
        Como fazer um código QR para Menu de Restaurante
        Conversor de Código QR File
        Este gerador de QR Code é uma marca registrada da QR TIGER INCORPORATED LIMITED.
        'O QR Code é uma marca registrada da DENSO WAVE INCORPORATED.' © 2026 www.qrcode-tiger.com