Por Jaqueline Sousa • Editado por Jones Oliveira | 09/01/2026 às 16:30
O FBI fez um alerta vermelho para organizações internacionais a respeito de uma nova campanha de phishing, originada na Coreia do Norte, que usa QR Codes para burlar sistemas de segurança de e-mails.
Segundo relatório da agência de inteligência americana, o grupo por trás da campanha tem como principal alvo laboratórios de pesquisa, instituições acadêmicas e entidades governamentais ao redor do mundo, em uma ação iniciada em maio de 2025.
O principal modus operandi dos criminosos é espalhar um QR Code malicioso via e-mail fingindo ser alguém conhecido da vítima, ou alguma figura profissional que desperte confiança, como funcionários de embaixadas e conselheiros estratégicos.
O FBI observou que a principal tática desses ataques de phishing é obrigar as vítimas a usarem seus celulares para fazer a leitura de QR Codes comprometidos, contornando medidas de segurança que podem estar ativadas em computadores, por exemplo.
Assim que o alvo escaneia o código, ele cai em um ambiente controlado pelo hacker, que passa a coletar informações sensíveis do usuário, como logins, endereço de IP, idioma, localização e até mesmo o tamanho da tela.
O que preocupou os especialistas é que esse processo de coleta vai mais além do “simples” roubo de credenciais, já que o código malicioso também possui a capacidade de reproduzir tokens de sessão, permitindo que os criminosos consigam burlar a autenticação multifator (MFA). Dessa forma, é possível sequestrar identidades na nuvem sem que o indivíduo perceba o que está acontecendo.
Para piorar, os criminosos também aplicam ataques secundários de spearphishing para tirar proveito de indivíduos e organizações específicas, tornando o cenário mais convincente para que a vítima caia na armadilha via e-mail.
Considerando que QR Codes passaram a chamar a atenção de criminosos graças ao aumento do uso do recurso pelas pessoas, é fundamental saber como se proteger, principalmente no ambiente corporativo, área que pode sofrer prejuízos gravíssimos e ainda ser alvo de ciberespionagem.
Portanto, o FBI recomenda que as organizações devem adotar uma série de medidas para combater a ameaça, evitando que o pior aconteça. O primeiro passo é educar funcionários para uma maior consciência digital, incentivando-os sempre a verificar a origem desses códigos antes de escaneá-los.
Protocolos para denúncia de atividades suspeitas, gerenciadores de dispositivos e senhas, atualizações constantes e ferramentas anti-malware também são medidas essenciais para proteger a integridade de funcionários e empresas.