Novas campanhas de phishing exploram QR codes e plataformas colaborativas

As ameaças veiculadas por email continuam a evoluir através da exploração da confiança dos utilizadores e lacunas nos sistemas tradicionais de segurança. De acordo com o Email Threat Radar de janeiro de 2026, da Barracuda, os analistas identificaram várias campanhas ativas dirigidas a organizações e colaboradores, recorrendo a técnicas de evasão e engenharia social cada vez mais refinadas.

Uma das ameaças em destaque da pesquisa envolve o kit de phishing Tycoon, que utiliza QR codes construídos inteiramente a partir de tabelas HTML. Em vez de recorrer a imagens, facilmente detetáveis por ferramentas de segurança, os atacantes criam códigos QR com pequenas células a preto e branco que, visualmente, formam um código legítimo quando o email é aberto. Como não existe um ficheiro de imagem nem um link visível, muitos filtros automáticos não identificam o risco. Ao ser digitalizado, o QR code encaminha a vítima para uma página de phishing criada através da plataforma Tycoon Phishing-as-a-Service.

Outra campanha identificada recorre ao callback phishing através do Microsoft Teams. Os atacantes adicionam vítimas a grupos com nomes urgentes e apresentam conteúdos falsos, como faturas ou avisos de renovação automática, o que leva os utilizadores a ligar para números controlados pelos próprios atacantes. A utilização de uma plataforma amplamente confiável e de linguagem alarmista aumenta significativamente a probabilidade de sucesso deste tipo de ataque.

O relatório destaca ainda esquemas de phishing com temática do Facebook, que simulam avisos legais por alegadas infrações de direitos de autor. As vítimas são encaminhadas para páginas falsas que imitam janelas de browser legítimas, onde são induzidas a introduzir as suas credenciais, que acabam por ser capturadas pelos atacantes.

Por fim, os analistas da Barracuda destacam uma técnica subtil que permite enganar sistemas de segurança, ao substituir a barra normal (/) por um caractere Unicode de divisão (∕) em links maliciosos. A diferença visual é quase impercetível, mas suficiente para contornar sistemas automáticos de deteção, permitindo que os links cheguem às caixas de correio dos utilizadores.

A Barracuda recomenda que as organizações reforcem a sensibilização dos colaboradores, adotem autenticação multifator e utilizem soluções de segurança que cubram não só o email, mas também ferramentas de colaboração. A vigilância contínua e a educação dos utilizadores continuam a ser fatores críticos para mitigar o impacto destas ameaças emergentes.