QR Codes Maliciosos e Roubo de Identidade: Por Que o Phishing Moderno Não Parece Phishing

12/05/2026 - Segurança da Informação

"A senha deixou de ser o principal problema. A identidade virou o alvo."

 

Você recebe um e-mail aparentemente normal. O remetente parece ser seu banco, seu provedor de nuvem ou até o RH da sua empresa. No corpo da mensagem, um QR Code — convite para "verificar sua conta" ou "acessar um documento urgente". Você aponta o celular, escaneia e… em segundos, suas credenciais corporativas estão nas mãos de um atacante.

Esse cenário, que antes soaria como roteiro de filme, é hoje uma das táticas de phishing mais utilizadas em ambientes corporativos. Os ataques evoluíram: deixaram de depender de malware clássico e passaram a focar em engenharia social ultra personalizada, QR Codes maliciosos — a técnica conhecida como quishing — e roubo de identidade corporativa.

Neste artigo, você vai entender como esses ataques funcionam, por que são tão difíceis de detectar e quais medidas práticas sua empresa pode adotar para reduzir o risco de credenciais comprometidas em 2026.

 

Neste artigo

• O que é quishing e por que cresce tanto
• A engenharia social hiperpersonalizada com IA
• Roubo de identidade corporativa: o novo objetivo dos atacantes
• Estatísticas recentes: o panorama em 2026
• Como reduzir o risco de credenciais comprometidas
• Soluções ManageEngine que protegem a identidade corporativa

 

1. O Que é Quishing — e Por Que Está Crescendo

O quishing (QR Code phishing) é uma variação do phishing clássico que utiliza códigos QR para direcionar vítimas a sites maliciosos. A técnica tem uma vantagem técnica significativa sobre os ataques tradicionais: como o link malicioso fica codificado dentro de uma imagem, a maioria dos filtros de e-mail corporativo e soluções antivírus convencionais simplesmente não consegue ler o destino da URL.

O resultado é preocupante. Segundo dados da Abnormal Security, os ataques com QR Code cresceram 400% entre 2023 e 2025. Os setores mais afetados são energia, saúde e manufatura — justamente aqueles com maior volume de transações operacionais e menor cultura de verificação de identidade digital.

Um relatório recente da Microsoft Threat Intelligence — publicado em abril de 2026 — revelou que a Microsoft detectou 8,3 bilhões de tentativas de phishing apenas no primeiro trimestre deste ano. Entre essas tentativas, os atacantes passaram a inserir QR Codes em anexos PDF: essa estratégia representou 65% dos ataques com QR Code em janeiro de 2026, chegando a 70% em março.

 

Dado-chave: QR Codes em PDFs representaram 65% dos ataques de quishing em janeiro de 2026 (Microsoft Threat Intelligence, abril/2026)

 

No Brasil, o cenário é especialmente crítico. A Kaspersky aponta que o país concentra 62% de todos os ataques de phishing da América Latina. O cibercrime brasileiro tornou-se mais sofisticado, utilizando domínios .ai e .io para conferir falsa credibilidade corporativa aos golpes — e QR Codes em boletos e faturas são vetores cada vez mais comuns.

 

2. Engenharia Social com IA: Quando o Phishing Não Parece Phishing

Durante anos, treinamentos de conscientização ensinaram colaboradores a desconfiar de e-mails com erros gramaticais, domínios suspeitos e formatação estranha. Em 2026, essas dicas praticamente perderam validade.

A Inteligência Artificial Generativa permite que atacantes produzam mensagens de phishing altamente personalizadas e contextualmente precisas em larga escala. Segundo análise da Kaspersky, a IA adapta automaticamente o tom e o contexto às rotinas corporativas reais — incluindo a falsificação de históricos de conversas encaminhadas para aumentar a credibilidade em ataques de Business Email Compromise (BEC).

Na prática, isso significa que um colaborador pode receber um e-mail que:

• Usa o nome correto do seu gestor direto
• Referencia um projeto real em andamento
• Contém um QR Code para "aprovar um documento urgente no SharePoint"
• É enviado por um domínio com apenas uma letra diferente do domínio legítimo

 

Segundo a Check Point Research, Microsoft, Apple e Google lideram as marcas mais imitadas em ataques de phishing no início de 2026. A razão é simples: uma única credencial comprometida nessas plataformas pode abrir acesso a múltiplos sistemas corporativos interconectados.

 

3. Roubo de Identidade Corporativa: O Verdadeiro Objetivo dos Atacantes

A mudança mais importante nos ataques recentes não é técnica — é estratégica. O alvo deixou de ser a instalação de malware e passou a ser o roubo de credenciais de acesso.

Dados do relatório da Microsoft Threat Intelligence (Q1 2026) mostram que o roubo de credenciais representa entre 89% e 95% do total dos ataques baseados em carga útil — uma mudança clara do malware tradicional para o comprometimento de identidade.

Paralelamente, a Barracuda Networks aponta que mais de 85% dos ataques de phishing detectados em 2024 tinham como objetivo roubar credenciais — e a projeção para 2026 é que esse índice ultrapasse 90%.

 

Por que credenciais valem mais que dados? Porque com uma senha corporativa, o atacante não precisa mais "invadir" o sistema — ele simplesmente faz login como se fosse você.

 

Essa lógica está por trás do crescimento dos ataques AiTM (Adversary-in-the-Middle), que interceptam o token de sessão mesmo após o usuário ter completado a autenticação multifator (MFA). Frameworks automatizados como o Tycoon2FA — desarticulado parcialmente pela Microsoft em março de 2026 — tornaram esses ataques acessíveis a atacantes sem conhecimento técnico avançado.

 

4. Panorama Brasil 2026: Os Números Que Você Precisa Conhecer

Estatística	Fonte
Ataques com QR Code cresceram 400% entre 2023 e 2025	Abnormal Security
8,3 bilhões de tentativas de phishing no Q1/2026	Microsoft Threat Intelligence
QR Codes em PDFs: 65%–70% dos ataques de quishing	Microsoft Threat Intelligence, 2026
89%–95% dos ataques têm roubo de credenciais como objetivo	Microsoft Threat Intelligence, Q1/2026
Brasil concentra 62% dos ataques de phishing da América Latina	Kaspersky 2025
9 em cada 10 PMEs brasileiras sofreram tentativa via WhatsApp/e-mail em 2025	CISO Advisor 2026
Custo médio de uma violação via phishing: US$ 4,76 milhões	IBM Cost of a Data Breach 2024
Tempo médio de detecção de comprometimento por phishing: 207 dias	Proofpoint State of the Phish 2024

 

 

5. Como Reduzir o Risco de Credenciais Comprometidas em 2026

Diante desse cenário, a defesa não pode se limitar a filtros de e-mail e treinamentos anuais de conscientização. É necessária uma abordagem em camadas, combinando tecnologia, processos e cultura de segurança.

5.1 Adote MFA resistente a phishing

A autenticação multifator convencional (SMS ou TOTP) não protege contra ataques AiTM. Somente padrões como FIDO2 ou chaves de segurança físicas verificam o domínio do site no momento da autenticação, tornando-os imunes a ataques de proxy intermediário.

5.2 Gerencie senhas corporativas com solução dedicada

O reuso de senhas entre sistemas corporativos é um dos maiores amplificadores de risco. Quando uma credencial é comprometida via phishing, o atacante a testa automaticamente em dezenas de outros sistemas — e-mail, VPN, ERP, ferramentas cloud. Uma solução de gerenciamento de senhas centraliza, monitora e rotaciona credenciais privilegiadas, eliminando esse efeito cascata.

Saiba mais sobre o Password Manager Pro da ManageEngine e como ele centraliza o controle de credenciais privilegiadas.

5.3 Implemente self-service de senhas com verificação de identidade

Colaboradores que perdem ou esquecem senhas frequentemente recorrem a canais informais — abrindo brechas para engenharia social. Uma plataforma de self-service integrada ao Active Directory, com verificação de identidade multifator, elimina esse vetor de ataque.

Conheça o ADSelfService Plus, solução da ManageEngine para redefinição segura de senhas e autenticação adaptativa.

5.4 Monitore logs e comportamento de identidade em tempo real

Um ataque de phishing bem-sucedido frequentemente gera padrões anômalos visíveis nos logs: logins em horários atípicos, acessos de localizações geográficas incomuns, tentativas sucessivas de autenticação. A detecção precoce depende de correlação de eventos em tempo real.

O Log360 da ManageEngine oferece SIEM integrado com análise comportamental (UEBA), capaz de identificar padrões suspeitos antes que o comprometimento se consolide.

5.5 Garanta visibilidade e controle dos endpoints

Quando um colaborador escaneia um QR Code pelo celular pessoal ou por um endpoint corporativo sem proteção adequada, os controles de rede tornam-se ineficazes. Gerenciar e proteger todos os dispositivos que acessam recursos corporativos é pré-requisito para qualquer estratégia de defesa de identidade.

O Endpoint Central consolida o gerenciamento de endpoints Windows, macOS, Linux e mobile em uma única console, incluindo distribuição de patches e controle de aplicações.

 

6. Soluções ManageEngine para Proteção de Identidade Corporativa

A ManageEngine oferece um ecossistema integrado de ferramentas que cobrem os principais vetores de ataque relacionados a identidade e credenciais. Na Dinamio, somos parceiros especializados na implementação e suporte dessas soluções para o mercado brasileiro.

Solução	Proteção oferecida	Vetor de ataque coberto
ADSelfService Plus	MFA adaptativa, reset seguro de senhas, SSO	Engenharia social via helpdesk, credenciais fracas
Password Manager Pro	Gestão de senhas privilegiadas, rotação automática, cofre centralizado	Roubo de credenciais privilegiadas, reuso de senhas
Log360	SIEM + UEBA, correlação de eventos, alertas em tempo real	Acesso anômalo pós-comprometimento
Endpoint Central	Gestão de patches, controle de dispositivos, segurança mobile	Endpoints vulneráveis como ponto de entrada

 

 

Conclusão: A Identidade É o Novo Perímetro

O phishing moderno não depende mais de malware ou de vítimas desatentas a erros óbvios. Ele explora a confiança nas identidades — corporativas, de marca e de relações interpessoais. QR Codes maliciosos em PDFs, engenharia social potencializada por IA e ataques que contornam o MFA convencional tornaram o roubo de credenciais a principal ameaça ao ambiente de TI corporativo em 2026.

A resposta não é simples, mas é possível: começa pela visibilidade completa das identidades e acessos, passa por autenticação robusta resistente a phishing e se consolida com monitoramento contínuo de comportamento anômalo.

Na Dinamio, implementamos e suportamos as soluções ManageEngine que endereçam exatamente esses vetores. Quer entender qual combinação faz mais sentido para o perfil da sua empresa?

 

Entre em contato com nossos consultores: contato@dinamio.com.br | dinamio.com.br

 

Perguntas Frequentes sobre Phishing com QR Code e Roubo de Identidade Corporativa

O que é quishing e como ele funciona?

Quishing é uma modalidade de phishing que utiliza QR Codes maliciosos para direcionar vítimas a sites fraudulentos. O atacante insere o QR Code em e-mails, anexos PDF ou materiais físicos. Quando a vítima escaneia o código — geralmente pelo celular — é redirecionada a uma página falsa que imita um portal legítimo (Microsoft 365, banco, VPN corporativa) e solicita suas credenciais. A técnica é especialmente perigosa porque o link malicioso fica codificado dentro de uma imagem, contornando a maioria dos filtros de e-mail corporativo que analisam apenas texto e URLs em formato de texto.

Por que o phishing com QR Code é difícil de detectar?

Os filtros de segurança de e-mail tradicionais analisam URLs e textos, mas não conseguem "ler" o conteúdo de uma imagem — e um QR Code é, tecnicamente, uma imagem. Isso significa que o link malicioso trafega pelo gateway de e-mail sem ser inspecionado. Além disso, o escaneamento ocorre no celular do usuário, que frequentemente tem proteções mais fracas do que o endpoint corporativo. Em 2026, os atacantes passaram a inserir QR Codes em anexos PDF para adicionar mais uma camada de evasão, representando 65% a 70% dos ataques de quishing no primeiro trimestre, segundo a Microsoft Threat Intelligence.

O MFA (autenticação multifator) protege contra ataques de phishing modernos?

O MFA convencional — como códigos por SMS ou aplicativos TOTP (Google Authenticator, por exemplo) — não protege completamente contra os ataques mais avançados de 2026. Ataques do tipo AiTM (Adversary-in-the-Middle) utilizam um servidor proxy entre a vítima e o site legítimo: quando o usuário completa o MFA, o atacante captura o cookie de sessão e assume o acesso sem precisar da senha ou do código. A proteção efetiva exige MFA resistente a phishing, como chaves de segurança baseadas no padrão FIDO2, que verificam criptograficamente o domínio do site no momento da autenticação — tornando o ataque de proxy inútil.

Quais setores são mais visados por ataques de quishing no Brasil?

Globalmente, os setores mais afetados por ataques com QR Code malicioso são energia, saúde e manufatura, segundo a Abnormal Security. No contexto brasileiro, o cenário é amplificado pelo fato de o país concentrar 62% de todos os ataques de phishing da América Latina (Kaspersky, 2025). Setores com alto volume de transações financeiras e operacionais — como serviços financeiros, logística e indústria — são alvos frequentes, especialmente por meio de boletos e faturas com QR Codes adulterados.

Como uma empresa pode proteger suas credenciais corporativas contra phishing em 2026?

A proteção efetiva de credenciais corporativas exige uma abordagem em camadas: (1) Adotar MFA resistente a phishing baseado em FIDO2; (2) Implementar um cofre centralizado de senhas privilegiadas, com rotação automática e auditoria de acesso; (3) Monitorar comportamento de identidade em tempo real com SIEM e UEBA para detectar acessos anômalos; (4) Gerenciar todos os endpoints — incluindo dispositivos móveis — com solução unificada; (5) Oferecer aos colaboradores um canal seguro e verificado de reset de senha, eliminando o vetor de engenharia social via helpdesk. Soluções como ManageEngine ADSelfService Plus, Password Manager Pro, Log360 e Endpoint Central cobrem essas cinco camadas de forma integrada.

Qual é o custo médio de uma violação originada por phishing?

Segundo o relatório IBM Cost of a Data Breach 2024, o custo médio global de uma violação de dados com origem em phishing é de US$ 4,76 milhões. Além do impacto financeiro direto, o tempo médio para detectar um comprometimento por phishing é de 207 dias (Proofpoint State of the Phish 2024) — o que significa que, na maioria dos casos, o atacante permanece na rede por quase sete meses antes de ser identificado. Esse intervalo permite exfiltração de dados, movimentação lateral e instalação de backdoors secundários.

O que é o ADSelfService Plus e como ele ajuda contra phishing?

O ADSelfService Plus é uma solução da ManageEngine para gerenciamento de identidade integrado ao Active Directory. Ele permite que colaboradores redefinam senhas e desbloqueiem contas com segurança, sem precisar acionar o helpdesk — eliminando o vetor de engenharia social que explora esse canal. Além disso, oferece autenticação multifator adaptativa (MFA baseado em risco), single sign-on (SSO) e políticas de senha granulares. Ao fechar o canal informal de reset de credenciais, o ADSelfService Plus remove uma das portas de entrada mais exploradas por atacantes que combinam phishing com chamadas fraudulentas ao suporte técnico (vishing).

Qual a diferença entre phishing, quishing e BEC?

Phishing é o termo genérico para ataques que induzem vítimas a revelar informações sensíveis por meio de comunicações fraudulentas (e-mail, SMS, voz). Quishing (QR Code phishing) é uma variante que usa códigos QR para ocultar o link malicioso em uma imagem, contornando filtros de texto. BEC (Business Email Compromise) é um ataque altamente direcionado em que o atacante se passa por um executivo, fornecedor ou parceiro para solicitar transferências financeiras ou dados sensíveis — sem necessariamente usar malware ou links maliciosos, baseando-se apenas na autoridade e urgência da mensagem. Em 2026, os três vetores frequentemente se combinam: um ataque BEC pode começar com um e-mail de quishing para roubar as credenciais do executivo e, em seguida, usar a conta comprometida para enviar solicitações fraudulentas internas.

 

Leituras Recomendadas

• Gestão de identidade e acessos: mais segurança e compliance
• Log360: SIEM integrado com análise de comportamento de usuários (UEBA)
• Password Manager Pro: cofre centralizado de credenciais privilegiadas
• Endpoint Central: gerenciamento unificado de dispositivos corporativos

 

Referências

• Microsoft Threat Intelligence – Q1 2026 Phishing Report (CISO Advisor, abr/2026)
• Kaspersky – Relatório de Spam e Phishing 2025 (Securelist Brazil)
• Check Point Research – Brand Phishing Q1 2026 (Hipersuper)
• Barracuda Networks – Threat Spotlight: Phishing Techniques 2025
• Panorama Phishing Brasil 2026 – Starti
• Phishing Statistics 2025–2026 – CaptainDNS
• IBM Cost of a Data Breach Report 2024 – IBM Security

 

Sobre a Dinamio

A Dinamio é parceira ManageEngine especializada em soluções de segurança e gestão de TI para o mercado brasileiro. Atuamos com implementação, suporte e consultoria para empresas que buscam proteção real contra as ameaças de identidade e acesso mais avançadas.

Acesse: www.dinamio.com.br | E-mail: contato@dinamio.com.br