O Departamento Federal de Investigação dos Estados Unidos (FBI) lançou um aviso urgente sobre uma nova vaga de ciberataques orquestrada pelo grupo Kimsuky (também conhecido como APT43). Estes piratas informáticos, que operam com o patrocínio da Coreia do Norte, estão a utilizar códigos QR maliciosos em campanhas de spearphishing altamente direcionadas, visando roubar credenciais de acesso e contornar medidas de segurança.
O perigo escondido num simples código QR
A técnica, conhecida no meio da cibersegurança como "Quishing" (uma fusão de QR e Phishing), não é propriamente nova, mas está a ser utilizada com uma sofisticação renovada. Segundo o alerta de segurança oficial do FBI, os atacantes enviam emails cuidadosamente elaborados, disfarçados de questionários, acessos a drives seguras ou páginas de login falsas, contendo um código QR que a vítima é incitada a digitalizar.
Para dar credibilidade ao esquema, os criminosos assumem identidades falsas, fazendo-se passar por investidores estrangeiros, funcionários de embaixadas, membros de think tanks ou organizadores de conferências. Um exemplo concreto citado pela agência ocorreu em junho de 2025, quando o grupo enviou emails a uma empresa de consultoria estratégica, convidando os destinatários para uma conferência que, na realidade, não existia.
Ao digitalizar o código com o telemóvel, a vítima é redirecionada para uma infraestrutura controlada pelos atacantes. Neste processo, o dispositivo é analisado para recolha de dados como o sistema operativo, endereço IP e localização. De seguida, é apresentada uma página de login falsa que imita serviços populares como o Microsoft 365, Okta ou portais VPN. O objetivo final é o roubo de tokens de sessão, permitindo aos hackers sequestrar identidades na nuvem sem sequer disparar os alertas habituais de falha na autenticação multifator (MFA).
Uma ameaça que cresce além-fronteiras
O FBI classifica estes ataques como vetores de intrusão "resistentes ao MFA", uma vez que exploram uma lacuna crítica: o uso de dispositivos móveis pessoais e não geridos. Ao forçar a vítima a usar o telemóvel para ler o QR code, os atacantes conseguem contornar as soluções de segurança de email tradicionais das empresas, que muitas vezes não conseguem analisar o destino de um código QR inserido numa imagem.
Embora este alerta tenha como foco principal organizações sediadas nos EUA, a realidade é que esta prática tem vindo a tornar-se uma tendência global, afetando utilizadores e empresas em toda a Europa, incluindo em Portugal. Com a massificação do uso de códigos QR em restaurantes, faturas e serviços públicos no nosso país, os utilizadores tendem a confiar cegamente nestes códigos, o que abre uma porta perigosa para campanhas de phishing semelhantes.
Para se defenderem, as organizações são aconselhadas a implementar formação específica para os funcionários, verificar sempre a origem dos códigos QR e reforçar as políticas de gestão de dispositivos móveis. A regra de ouro mantém-se: se um email de trabalho pede para usar o telemóvel pessoal para digitalizar um código, desconfie imediatamente.
Nenhum comentário
Seja o primeiro!