O Microsoft Threat Intelligence publicou seu relatório sobre o panorama de ameaças de e-mail do primeiro trimestre de 2026 em 30 de abril. O número principal foi de 8,3 bilhões de ameaças de phishing por e-mail detectadas nos primeiros três meses do ano. Os volumes mensais caíram de 2,9 bilhões em janeiro para 2,6 bilhões em março, o que parece uma queda até você ler o que estava realmente crescendo dentro desses números.
O phishing por QR code, técnica que pesquisadores de segurança chamam de “quishing”, cresceu 146% ao longo do trimestre, passando de 7,6 milhões de ataques em janeiro para 18,7 milhões em março. Foi o vetor de ataque de maior crescimento rastreado no relatório. Apenas em março, QR codes incorporados diretamente no corpo dos e-mails, em vez de em anexos, aumentaram 336%. O phishing bloqueado por CAPTCHA mais do que dobrou no mesmo mês.
Esses números representam o volume de ataques detectados e bloqueados. As campanhas que passaram despercebidas não estão, por definição, na contagem.
A campanha Quish Splash: como os atacantes passaram por todos os filtros
Em março de 2026, pesquisadores de segurança da 7AI publicaram uma análise de uma operação de quishing que denominaram “Quish Splash”. A campanha ocorreu em três ondas entre 26 de fevereiro e 18 de março de 2026. Os pesquisadores inicialmente observaram 28 e-mails de phishing chegando a caixas de entrada corporativas sem serem detectados. Ao examinar a infraestrutura de rastreamento do atacante, a escala real da campanha ficou clara: mais de 1,6 milhão de e-mails entregues a organizações de vários setores em menos de três semanas.
Os e-mails passaram na autenticação SPF, DKIM e DMARC. Não porque esses controles falharam, mas porque os atacantes os tinham configurado corretamente no próprio domínio.
Vale a pena pausar aqui. Os atacantes não falsificaram o domínio de uma marca legítima. Eles registraram um domínio próprio, publicaram registros SPF válidos, configuraram a assinatura DKIM e definiram uma política DMARC. Os e-mails chegaram aos servidores de e-mail receptores parecendo ser exatamente o que afirmavam ser: mensagens autenticadas de uma fonte de envio conhecida.
O payload malicioso era invisível para todos os scanners de texto na rota de entrega. Os atacantes codificaram URLs de phishing dentro de arquivos de imagem BMP anexados às mensagens. Nenhum link apareceu no corpo do e-mail que um scanner de URL pudesse avaliar. Cada destinatário recebeu um QR code único incorporado na imagem, o que derrotou os sistemas de detecção por amostragem em massa. Ao escanear o QR code, a vítima era redirecionada para uma página de coleta de credenciais e, como o usuário tinha mudado de um laptop protegido pela empresa para um dispositivo móvel pessoal, também deixou para trás as ferramentas de segurança que seu empregador havia implantado.
O que o DMARC pode e não pode impedir
A campanha Quish Splash ilustra um limite importante naquilo que o DMARC pode proteger.
O DMARC impede a falsificação de domínio. Se um atacante quiser enviar e-mails que pareçam vir do domínio da sua organização, um registro DMARC com p=reject instrui todos os servidores de e-mail do mundo a rejeitar essas mensagens. O atacante não pode falsificar com sucesso a identidade de e-mail do seu domínio sem passar na autenticação SPF ou DKIM para aquele domínio. Essa proteção é real, é aplicada globalmente e elimina toda uma categoria de ataques que, de outra forma, escalariam sem nenhuma barreira técnica.
O que o DMARC não impede é um atacante que registra um domínio novo, o autentica corretamente e o usa para conduzir uma campanha. Na operação Quish Splash, o DMARC funcionou exatamente como projetado: identificou corretamente o domínio remetente como autenticado. O problema não foi o resultado da autenticação. O problema foi que o domínio autenticado era controlado por atacantes.
Entender esse limite não é um argumento contra o DMARC. É um argumento para compreender o que cada controle em uma arquitetura de segurança faz. O DMARC faz parte da postura de segurança de e-mail de toda organização. Ele simplesmente não torna desnecessárias as demais camadas de defesa.
Por que QR codes contornam a segurança padrão de e-mail
A mecânica pela qual os QR codes evitam os controles convencionais de segurança de e-mail é simples quando se entende o que esses controles realmente analisam.
Filtros de spam, scanners de URL e ferramentas de análise de conteúdo operam principalmente sobre texto. Eles extraem links de corpos de e-mail e HTML, verificam esses links em bases de dados de inteligência de ameaças, avaliam o texto da mensagem em busca de padrões suspeitos e pontuam a mensagem com base no que encontram.
Uma URL de phishing codificada como QR code dentro de um arquivo de imagem é invisível para todo esse processo. Nenhum link existe no texto do e-mail que um scanner possa extrair. A própria imagem contém a ameaça, mas a análise de imagens para detecção de QR codes incorporados é computacionalmente cara e não era um componente padrão na maioria das arquiteturas de gateways de e-mail quando o phishing por QR code era uma novidade.
O phishing por QR code há muito deixou de ser novidade. O quishing representou 12% de todos os ataques de phishing globalmente em 2025, ante 0,8% em 2021. Apenas a Mimecast detectou mais de 716.000 QR codes maliciosos únicos em um único trimestre de 2025. A técnica foi industrializada, e as organizações que construíram sua segurança de e-mail em torno da detecção baseada em texto têm uma lacuna significativa.
O problema do dispositivo móvel
Há uma segunda camada no porquê do quishing ser particularmente eficaz que não tem nada a ver com tecnologia de segurança de e-mail.
Quando um funcionário escaneia um QR code em um e-mail no laptop de trabalho, normalmente o faz com o celular pessoal. No momento em que isso acontece, a sessão passa de um dispositivo sob a gestão de segurança da organização para um dispositivo que pode não ter nenhuma ferramenta de segurança corporativa: sem detecção de endpoint, sem filtragem web, sem inspeção de certificados, sem aplicação de políticas de acesso condicional.
Um atacante que leva uma página de phishing por QR code ao navegador móvel de um funcionário opera em um ambiente onde a organização tem muito pouca visibilidade e ainda menos controle. Mesmo que o laptop do funcionário tivesse bloqueado a URL de phishing, o celular pode não bloquear.
O relatório do primeiro trimestre da Microsoft documentou uma mudança correspondente na técnica dos atacantes: 78% das ameaças por e-mail eram baseadas em links, mas a tendência para QR codes e entrega de payload em imagem é explicitamente enquadrada como uma resposta ao avanço dos defensores na análise de links. Os atacantes se adaptam ao que os controles de segurança realmente verificam, e têm se adaptado para contornar os scanners de e-mail baseados em texto há anos.
Como é uma defesa em camadas na prática
A resposta correta ao quishing não é abandonar os fundamentos de segurança de e-mail. É adicionar as camadas que o quishing realmente requer.
A aplicação do DMARC no seu próprio domínio continua essencial. Os atacantes da Quish Splash não falsificaram o domínio de ninguém. Mas muitas outras campanhas de quishing falsificam domínios legítimos para dar credibilidade aos seus iscas. Seu registro DMARC com p=reject impede que seu domínio seja usado como identidade falsificada nessas campanhas. Também protege seus destinatários de receber e-mails falsificados que pareçam vir de você. Essa proteção importa mesmo que não impeça diretamente uma campanha de domínio novo no estilo Quish Splash.
Os relatórios DMARC revelam sua pegada de autenticação. Os relatórios agregados do seu registro DMARC mostram cada fonte que envia e-mail em nome do seu domínio. Se atacantes estão sondando ou testando contra seu domínio, ou se um fornecedor em sua cadeia de suprimentos está sendo usado inadvertidamente como relay, essa atividade frequentemente aparece nos dados de relatórios agregados antes de aparecer em qualquer outro lugar.
Controles de gateway com reconhecimento de QR code abordam a lacuna de detecção. Vários dos principais fornecedores de segurança de e-mail adicionaram extração de imagens com QR code e análise de links às suas pilhas de varredura nos últimos dezoito meses. Se o seu gateway de segurança de e-mail não inclui essa capacidade, os números da Quish Splash ilustram o que essa lacuna custa.
O BIMI torna a identidade do remetente legítimo visualmente verificável. Um logotipo de marca visível em uma caixa de entrada habilitada para BIMI é um sinal de que o domínio remetente passou pela aplicação do DMARC e completou a verificação VMC de terceiros. Não impede campanhas de quishing com domínios novos, mas oferece aos destinatários um sinal positivo confiável para identificar e-mails legítimos da sua marca, o que torna as mensagens falsificadas ou de impostores mais fáceis de reconhecer por contraste.
O gerenciamento de dispositivos móveis e a filtragem web para dispositivos móveis gerenciados fecham a lacuna da troca de dispositivo. Se os funcionários escaneiam QR codes em dispositivos móveis gerenciados com filtragem web aplicada, a sessão permanece dentro do perímetro de segurança da organização. Dispositivos pessoais não gerenciados continuam sendo uma lacuna, mas reduzir o número de cenários em que a sessão de uma vítima fica completamente fora da cobertura de segurança corporativa reduz a superfície de ataque.
A tendência mais ampla por trás dos números
O crescimento de 146% no phishing por QR code em um único trimestre não é uma surpresa para pesquisadores que acompanham essa técnica desde 2023. É uma consequência previsível de defensores melhorando em uma coisa e atacantes respondendo mudando para outra.
O phishing de credenciais representou 94% dos ataques baseados em payload em março de 2026, segundo os dados da Microsoft. O objetivo da campanha é consistente: fazer o alvo inserir credenciais. O mecanismo de entrega é variável: links, anexos, QR codes, barreiras CAPTCHA, qualquer técnica que eluda a geração atual de detecção em escala. Quando uma técnica é detectada de forma mais confiável, o volume se desloca para outra.
A interrupção da Microsoft em março da plataforma de phishing-as-a-service Tycoon2FA fez com que o volume de e-mails associado caísse 15% pelo restante do mês. O grupo se adaptou mudando de provedores de hospedagem. O volume se recuperou. O padrão é consistente em toda a história de ataques baseados em e-mail: campanhas interrompidas se adaptam e retornam, e o volume agregado é determinado mais pela economia do atacante do que por qualquer intervenção defensiva isolada.
Os controles que permanecem eficazes ao longo dessa evolução são os que operam sobre propriedades mais difíceis de falsificar para os atacantes. A identidade autenticada do remetente, verificada pelo DMARC contra SPF e DKIM, é uma dessas propriedades. Um domínio malicioso novo pode ser autenticado, mas não carrega reputação, histórico estabelecido ou reconhecimento de marca. Esses sinais, combinados com a autenticação do remetente, formam uma superfície de detecção mais durável do que a análise de conteúdo por si só.
O Excello Mail oferece visibilidade completa sobre o status de autenticação do seu domínio – análise de relatórios agregados, descoberta de fontes, gerenciamento de políticas DMARC e orientação de aplicação em uma plataforma gerenciada. Cadastre-se gratuitamente em excello.email →