Nova campanha de qishing ataca gateways de pagamento
Nova campanha de qishing afeta gateways de pagamento no e-commerce. Saiba como proteger sua loja virtual e use nosso gerador de códigos QR seguro.

A técnica de qishing (phishing que faz uso de códigos QR) atingiu um patamar crítico de sofisticação técnica. Recentemente, investigadores de segurança digital identificaram uma nova campanha global voltada especificamente contra gateways de pagamento integrados em plataformas de e-commerce. A grande diferença deste ataque é que ele não se apoia apenas em e-mails estáticos; ele altera em tempo real a renderização das páginas no navegador da vítima para trocar os códigos QR oficiais por versões fraudulentas dos atacantes.
A seguir, apresentamos uma análise técnica aprofundada dos mecanismos desta ameaça, suas táticas de evasão e as diretrizes recomendadas para defender seu e-commerce e seus clientes.
O que é o Qishing e como ele afeta o fluxo de checkout?
O termo qishing surge da união de "QR Code" com "Phishing". Enquanto as defesas de e-mail convencionais conseguem examinar hiperlinks textuais com facilidade, o qishing oculta o endereço Web malicioso dentro de uma imagem bidimensional. Para extrair a URL, os filtros de segurança precisam executar processamento OCR (Optical Character Recognition) e decodificação, algo dispendioso em termos computacionais e frequentemente ignorado por firewalls de e-mail e navegadores.
No e-commerce, a conveniência dos códigos QR é amplamente explorada para viabilizar pagamentos rápidos com carteiras digitais, Pix, transferências instantâneas e criptoativos. O cliente acessa a tela de finalização de compra e confia na integridade da imagem apresentada.
Nesta campanha, os cibercriminosos exploram vulnerabilidades de Cross-Site Scripting (XSS) ou plugins desatualizados de terceiros no servidor do e-commerce. Quando a página de pagamento é carregada no navegador do cliente, um script JavaScript malicioso intercepta o elemento de imagem do código QR legítimo e o substitui. A vítima escaneia a imagem confiando no selo de segurança HTTPS e conclui a transferência, enviando seus fundos de forma involuntária para os cofres dos criminosos.
O modus operandi da campanha em lojas de e-commerce
Esta campanha se destaca por sua abordagem direcionada ao fluxo interno de pagamento. Em vez de focar apenas no disparo em massa de e-mails, os atacantes implementam a seguinte sequência:
- Ataque à cadeia de suprimentos: A infiltração ocorre por meio de bibliotecas JavaScript desatualizadas ou brechas de segurança no CMS da loja.
- Substituição inteligente no DOM: O script injetado monitora o DOM da página de checkout para identificar elementos de imagem vinculados a gateways de pagamento.
- Disguise de marca (Spoofing): O código QR malicioso exibe logotipos corporativos em sua área central, imitando com precisão o visual de serviços oficiais.
- Redirecionamento seletivo: A URL decodificada leva a um servidor intermediário que analisa o User-Agent do visitante. O site de phishing de pagamento só é exibido para dispositivos móveis; robôs de busca e escâneres automatizados recebem uma página em branco ou redirecionamentos inofensivos.
A tabela abaixo contrasta o fluxo de uma transação normal com a transação sob efeito do ataque de qishing:
| Fase da Compra | Fluxo de Pagamento Legítimo | Fluxo Comprometido por Qishing |
|---|---|---|
| 1. Seleção de método | O cliente escolhe pagar via código QR. | O cliente escolhe pagar via código QR. |
| 2. Criação do código | O servidor gera o código QR oficial do pedido. | O script malicioso intercepta o processo de renderização. |
| 3. Exibição na tela | O site mostra o código QR com a carteira da loja. | O site exibe o código QR modificado dos criminosos. |
| 4. Escaneamento | O usuário escaneia e autoriza o pagamento. | O usuário escaneia e envia o dinheiro para o atacante. |
| 5. Resultado | O e-commerce confirma o recebimento do pedido. | A página exibe erro de conexão ou fecha a sessão. |
Análise das táticas de evasão de defesas tradicionais
Os firewalls de aplicações Web (WAF) e os escâneres de vulnerabilidades comuns falham na detecção desta campanha devido à ausência de assinaturas de texto malicioso. Um código QR é, para todos os efeitos, uma imagem PNG ou SVG válida.
Além disso, os golpistas criam URLs que utilizam caracteres Unicode homógrafos (letras visualmente idênticas às de alfabetos comuns, mas com codificações distintas) ou nomes de domínio extremamente longos com subdomínios confiáveis, dificultando a detecção heurística automatizada.
Para entender a fundo o papel das redireções no comportamento das campanhas de engenharia social, recomendamos a leitura de nossa análise sobre como identificar redirecionamentos de URLs de phishing.
Código Python: Decodificação e análise de segurança de códigos QR
Para administradores e engenheiros de segurança que buscam validar a integridade dos códigos QR de faturamento emitidos pelo e-commerce, o script abaixo em Python automatiza o download, decodificação e rastreamento de redirecionamentos:
import requests
from PIL import Image
from pyzbar.pyzbar import decode
import urllib.parse
def analisar_codigo_qr(caminho_imagem):
print(f"[*] Analisando imagem: {caminho_imagem}")
try:
# Carregar e decodificar a matriz do código QR
img = Image.open(caminho_imagem)
codigos_lidos = decode(img)
if not codigos_lidos:
print("[-] Nenhum código QR localizado na imagem.")
return
for cod in codigos_lidos:
url_extraida = cod.data.decode('utf-8')
print(f"[+] URL extraída do QR: {url_extraida}")
# Identificar o domínio principal
dominio = urllib.parse.urlparse(url_extraida).netloc
print(f"[*] Domínio de destino: {dominio}")
# Seguir e registrar caminhos de redirecionamento HTTP
cabecalhos = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'}
resposta = requests.get(url_extraida, headers=cabecalhos, allow_redirects=True, timeout=5)
print(f"[+] Destino final após redireções: {resposta.url}")
if resposta.url != url_extraida:
print("[!] Atenção: O código QR executa redirecionamentos secundários.")
except Exception as e:
print(f"[-] Falha na análise do ativo: {str(e)}")
# Exemplo de execução
# analisar_codigo_qr("comprovante_pix.png")
Esse código utiliza a biblioteca pyzbar para a análise geométrica e decodificação, aliada à biblioteca requests para mapear os redirecionamentos HTTP. Você pode rodá-lo localmente ou integrá-lo em rotinas de testes contínuos de qualidade.
Como proteger o checkout de sua loja virtual
A defesa contra golpes de qishing em gateways de pagamento exige que os engenheiros de software adotem as seguintes metodologias de proteção:
- Assinatura criptográfica de imagens: Assine criptograficamente as imagens dos códigos QR no servidor. O navegador deve rejeitar a renderização caso a assinatura não confira.
- Auditoria de bibliotecas externas: Realize varreduras regulares de vulnerabilidades em dependências npm, pip ou composer. Conheça as estratégias para esse fluxo em nosso artigo sobre auditorias de código SAST/DAST no ciclo de desenvolvimento seguro.
- Restrição com Content Security Policy (CSP): Imponha cabeçalhos CSP rígidos para impedir que scripts não autorizados leiam elementos do DOM ou façam uploads para servidores desconhecidos.
- Metadados visíveis nos apps de pagamento: Garanta que a aplicação de destino exiba claramente a razão social e o CNPJ do e-commerce antes de liberar a autorização do pagamento.
- Treinamento e conscientização digital: Ensine seus clientes a reconhecerem táticas de engenharia social. Leia mais a respeito na nossa análise de hacking humano e táticas de engenharia social.
Conclusão
O qishing evoluiu de uma simples mensagem de phishing para um sofisticado ataque do lado do cliente capaz de comprometer fluxos críticos de e-commerce. A defesa robusta requer a combinação de monitoramento de integridade do DOM com a aplicação sistemática de cabeçalhos de segurança e auditoria contínua de código.
Para gerar códigos QR com segurança reforçada, utilize o nosso Gerador de código QR online. A nossa ferramenta processa todas as informações de forma estritamente local em seu navegador, livre de scripts invasivos, cookies de terceiros ou links redirecionados para fins de publicidade.
Fontes e referências externas recomendadas:
- Cybersecurity and Infrastructure Security Agency (CISA) — Recomendações e publicações sobre mitigação de ataques de phishing por código QR.
- World Wide Web Consortium (W3C) — Especificações de cabeçalhos de segurança e boas práticas de Content Security Policy (CSP).
- Artigo relacionado na TecnoCrypter: Qishing: o golpe dos códigos QR
- Artigo relacionado na TecnoCrypter: Malware de área de transferência e riscos QR


