Microsoft revela aumento de 50% em golpes de phishing com QR code

A Microsoft publicou, nos últimos dias, novos dados sobre o avanço do phishing por e-mail no início de 2026 e chamou atenção para a aceleração de golpes com QR code — um tipo de ataque que migra do “link suspeito” para o celular do usuário.

O alerta vem em um momento em que empresas brasileiras intensificam a adoção de ferramentas com IA e ampliam rotinas digitais de trabalho, elevando também o impacto de incidentes de credenciais roubadas.

Segundo a companhia, a disputa agora é por velocidade: criminosos ajustam campanhas em semanas, enquanto equipes de segurança tentam reduzir janelas de exposição em horas.

O que este artigo aborda:

• O que a Microsoft diz ter observado no 1º trimestre de 2026
• Por que o QR code virou um problema maior do que “apenas um quadradinho”
• Indícios que aparecem com frequência em campanhas recentes
• Como empresas e usuários podem reduzir risco sem paralisar o e-mail
• Ações práticas que tendem a ter melhor custo-benefício
• O pano de fundo: mais IA, mais automação e mais superfície de ataque
• O que observar nas próximas semanas
• O que muda para o leitor brasileiro agora

O que a Microsoft diz ter observado no 1º trimestre de 2026

Em relatório divulgado em 30 de abril, a inteligência de ameaças da Microsoft afirma ter detectado aproximadamente 8,3 bilhões de tentativas de phishing via e-mail entre janeiro e março de 2026.

O volume mensal teria oscilado de 2,9 bilhões em janeiro para 2,6 bilhões em março, indicando leve queda, mas ainda em patamar muito elevado.

No mesmo documento, a empresa aponta que o phishing por QR code foi o vetor de crescimento mais rápido no período, com campanhas que mais que dobraram ao longo do trimestre.

O recorte também indica que a maioria dos ataques ainda chega como isca de navegação: a Microsoft diz que 78% das ameaças por e-mail seriam baseadas em links no 1º trimestre.

Por que o QR code virou um problema maior do que “apenas um quadradinho”

O QR code muda a logística do golpe: o e-mail pode parecer “limpo”, com pouca URL visível, empurrando a etapa crítica para o celular do alvo.

Na prática, a mensagem diz “escaneie para ver o documento” ou “valide seu acesso”, e o redirecionamento acontece fora do desktop corporativo.

Para times de segurança, isso pode dificultar inspeção e bloqueio, porque o clique vira leitura de câmera, muitas vezes em rede móvel e fora de VPN.

Outra vantagem para o criminoso é psicológica: QR codes já estão associados a rotinas legítimas, de pagamentos a cardápios, reduzindo a desconfiança inicial.

Indícios que aparecem com frequência em campanhas recentes

• Falsa urgência (“sua conta expira hoje”, “pagamento pendente”, “documento bloqueado”).
• Imitação de fluxos corporativos (portal de RH, assinatura eletrônica, fatura, “compartilhamento” de arquivo).
• Etapas curtas, com poucas telas, para capturar login e senha rapidamente.
• Redirecionamentos que tentam evitar filtros, mudando URLs com alta rotação.

Como empresas e usuários podem reduzir risco sem paralisar o e-mail

A orientação central de especialistas é tratar QR code como link: se você não clicaria, também não deve escanear — e o QR não deve “furar” o processo de verificação.

Também cresce a recomendação de reforçar autenticação e reduzir dependência de senha, porque phishing é, em essência, roubo de credenciais.

A Microsoft tem defendido que segurança precisa acompanhar a expansão de IA e automação, em posição reiterada em textos recentes sobre o tema.

Em 1º de maio, a empresa afirmou estar focada em “proteger o ecossistema digital” com ferramentas e práticas voltadas a ameaças de nova geração, incluindo cenários em que IA amplia escala e personalização de ataques.

Ações práticas que tendem a ter melhor custo-benefício

1. Padronizar MFA para todas as contas, priorizando métodos resistentes a phishing (como chaves FIDO2, quando viável).
2. Bloquear logins de regiões improváveis e criar alertas para “impossible travel”.
3. Treinar por simulação com exemplos de QR phishing, não apenas “link malicioso”.
4. Rever exceções de acesso em dispositivos pessoais (BYOD), sobretudo para e-mail corporativo.
5. Separar canais: se o e-mail pede ação crítica, validar por outro meio (Teams/telefone interno/portal oficial).

O pano de fundo: mais IA, mais automação e mais superfície de ataque

O alerta de phishing não vem isolado: ele se conecta ao esforço da Microsoft de empurrar o mercado para um modelo de “organizações com agentes”, em que automação e assistentes ganham mais autonomia.

Em publicações recentes, a empresa descreveu a transição para uma fase em que agentes de IA passam a orquestrar tarefas e acessar dados corporativos de forma mais integrada.

Esse contexto é relevante porque incidentes de credenciais comprometidas podem ter efeito cascata: o invasor não só entra, como tenta automatizar exploração, busca e exfiltração.

Na semana passada, a Microsoft voltou a defender investimentos em infraestrutura e soluções de IA no mundo corporativo, sustentando que a próxima etapa do trabalho digital combina produtividade e controles mais rígidos.

O que observar nas próximas semanas

• Se o QR phishing vai migrar de “captura de senha” para aprovação de sessões e tentativas de burlar MFA.
• Se campanhas vão explorar mais mensagens internas (comunicações “do TI” ou “do financeiro”).
• Se haverá aumento de golpes com “documentos” que simulam fluxos do Microsoft 365.

O que muda para o leitor brasileiro agora

Para usuários, a principal mudança é de hábito: QR code não é sinônimo de segurança, e pode ser apenas uma forma diferente de entregar o mesmo golpe.

Para empresas, o desafio é cobrir o “vazio” entre e-mail no desktop e ação no celular, criando políticas e telemetria que acompanhem a jornada completa.

A Microsoft afirma que a escala do problema permanece alta e que os vetores estão se diversificando, com ênfase em QR codes e técnicas para contornar barreiras tradicionais.

O debate também pressiona lideranças: a promessa de IA acelerando processos exige, ao mesmo tempo, uma camada de proteção capaz de suportar ataques mais rápidos.

Um dos textos recentes da empresa sobre o tema aponta que a proteção do ecossistema digital precisa evoluir “da capacidade para a responsabilidade”, colocando governança e segurança como condições para avançar com IA em produção.

Essa visão foi reforçada em publicação de 1º de maio, na qual a Microsoft descreve a necessidade de elevar a proteção do ecossistema digital com IA de próxima geração e priorizar controles contra ameaças emergentes.

Enquanto isso, a orientação mais simples segue válida: antes de escanear, trate o QR como um link desconhecido e confirme a origem por um canal confiável.

Na prática, essa checagem adicional pode ser o que separa um “incômodo” no inbox de um incidente com bloqueio de contas, perda de dados e interrupção operacional.

Procurada em comunicados públicos recentes, a empresa tem reiterado que a defesa deve combinar tecnologia, políticas e resposta rápida, com foco em reduzir o tempo entre detecção e contenção.

Nos próximos relatórios, o mercado vai observar se a tendência de QR phishing se consolida como padrão dominante ou se vira apenas mais um capítulo na corrida entre filtros e fraude.

Em paralelo, o cenário econômico também mantém a segurança no centro: resultados trimestrais divulgados pela Microsoft no fim de abril destacam a força de nuvem e IA, sinalizando que o ritmo de digitalização segue acelerado.

O balanço do terceiro trimestre fiscal de 2026 registrou receita de US$ 82,9 bilhões e alta de 18%, reforçando o tamanho do ecossistema que, inevitavelmente, também se torna alvo prioritário de campanhas maliciosas.