Rachel estacionou em um estacionamento no centro da cidade em outubro passado e foi até o terminal de pagamento. Havia um adesivo com QR code na máquina com uma etiqueta que dizia 'Pague Aqui — Escaneie para Pagar Estacionamento'. Ela escaneou e abriu o que parecia uma página de pagamento normal. Ela inseriu o número do cartão de crédito, tocou em enviar e foi para sua reunião. Dois dias depois, o banco ligou. Alguém havia cobrado R$ 7.000 no cartão dela em uma loja de eletrônicos a 500 quilômetros de distância. O QR code que ela escaneou não era do estacionamento. Alguém imprimiu um adesivo e o colou diretamente sobre o legítimo.
A história de Rachel não é incomum. À medida que os QR codes se tornaram parte da vida cotidiana — em mesas de restaurante, parquímetros, ingressos de eventos e embalagens de produtos — criminosos encontraram formas de explorar a confiança que as pessoas depositam nesses pequenos quadrados. O ataque até tem um nome: quishing. E está crescendo rápido.
O que é quishing (phishing por QR code)?
Quishing é phishing entregue através de um QR code em vez de um link em um e-mail. O conceito é idêntico ao phishing tradicional: um golpista cria uma página falsa que parece um serviço legítimo e então engana você para que insira informações sensíveis como senhas, números de cartão de crédito ou credenciais de login. A diferença é o método de entrega. Em vez de clicar em um link suspeito, você escaneia um QR code que te leva à página falsa.
O que torna o quishing particularmente eficaz é que QR codes são opacos. Quando você vê um link em um e-mail, pode passar o mouse sobre ele e verificar a URL antes de clicar. Mas quando escaneia um QR code, muitas vezes não vê para onde ele leva até que o celular já tenha aberto a página. Esse momento de confiança cega é exatamente o que os golpistas exploram.
Como golpes com QR code funcionam na prática
Golpistas implantam QR codes falsos de várias maneiras, e entender as táticas comuns torna muito mais fácil identificá-los.
- Sobreposição de adesivos: O ataque físico mais comum. Um golpista imprime um adesivo com seu QR code malicioso e o coloca diretamente sobre um QR code legítimo em um parquímetro, mesa de restaurante ou placa pública. Para o observador casual, parece o código original.
- Panfletos e pôsteres falsos: Golpistas colocam panfletos com aparência oficial em locais públicos — 'WiFi Grátis', 'Ganhe um Vale-Presente', 'Desconto Especial' — com um QR code que leva a um site de phishing ou baixa malware.
- Quishing por e-mail e correio: Em vez de incluir um link clicável em um e-mail de phishing, golpistas embutem uma imagem de QR code. Isso burla muitos filtros de segurança de e-mail que escaneiam links mas não analisam imagens de QR code.
- Recibos e tickets adulterados: QR codes falsos impressos em tickets de estacionamento falsificados, recibos ou notificações de multa deixados nos para-brisas de carros. O código leva a uma página de pagamento que captura as informações do seu cartão.
Como identificar um QR code falso
Você não precisa ser um especialista em segurança para se proteger. Alguns segundos de atenção antes de escanear podem prevenir a maioria dos ataques.
- Verifique sobreposição de adesivos: Antes de escanear um QR code em um local público, observe atentamente se o código está impresso diretamente na superfície ou colado sobre ela. Passe o dedo pela borda. Se sentir um adesivo sobreposto a outro código, não escaneie.
- Visualize a URL antes de abrir: A maioria dos celulares modernos mostra uma prévia da URL quando você escaneia um QR code. Leia-a antes de tocar. Um serviço de estacionamento legítimo terá um domínio reconhecível, não algo como 'estacion-pague-agora.xyz'. Procure erros de digitação, extensões de domínio incomuns e URLs excessivamente longas.
- Verifique o HTTPS: Páginas legítimas de pagamento e login usam HTTPS. Se a URL começa com HTTP simples, trate com desconfiança. No entanto, tenha em mente que HTTPS sozinho não garante legitimidade — golpistas também podem obter certificados SSL.
- Desconfie de urgência: Se um QR code leva a uma página que pressiona você a agir imediatamente — 'Sua conta será bloqueada!' ou 'Resgate seu prêmio agora!' — pare e pense. Serviços legítimos não criam pânico para fazer você inserir informações pessoais.
- Verifique com a fonte: Se você escaneia um QR code em um restaurante e a página parece estranha, pergunte aos funcionários. Se um QR code aparece em um parquímetro e o design parece diferente dos outros parquímetros na mesma rua, pague no caixa ou use o app oficial.
No iPhone, o app de câmera mostra a URL antes de abri-la. No Android, o Google Lens faz o mesmo. Sempre leia a prévia da URL antes de tocar. Se algo parecer estranho, não prossiga.
Dicas de segurança para consumidores
Como alguém que escaneia QR codes na vida cotidiana, você pode se proteger com alguns hábitos simples.
Use o scanner nativo do seu celular
O app de câmera padrão do iPhone e Android fornece uma prévia da URL antes de navegar. Evite baixar apps de scanner de QR de terceiros, pois alguns deles são malware disfarçados de ferramentas úteis.
Nunca insira informações sensíveis impulsivamente
Se um QR code leva você a uma página pedindo cartão de crédito, CPF ou credenciais de login, pause. Pergunte-se: eu esperava isso? Esta organização normalmente pediria essas informações desta forma?
Mantenha seu celular atualizado
Atualizações do sistema operacional incluem correções de segurança que protegem contra novas ameaças. Um celular atualizado está melhor equipado para alertar sobre sites maliciosos e prevenir downloads não autorizados.
Denuncie QR codes suspeitos
Se encontrar um adesivo de QR code que parece estar cobrindo um legítimo, denuncie ao proprietário do estabelecimento ou imóvel. Remova o adesivo falso se puder fazê-lo com segurança. Você pode salvar a próxima pessoa de um golpe.
Dicas de segurança para empresas
Se seu negócio usa QR codes — em mesas, sinalização, embalagens ou materiais de marketing — você tem a responsabilidade de tornar seus códigos confiáveis e resistentes a adulterações.
- Imprima QR codes diretamente nos materiais: Sempre que possível, imprima QR codes diretamente em cardápios, sinalização ou embalagens em vez de usar adesivos que podem ser cobertos pelo adesivo de um golpista. Códigos impressos são muito mais difíceis de adulterar.
- Inspecione seus QR codes regularmente: Faça disso parte da sua rotina de abertura. Percorra o espaço e verifique se seus QR codes não foram cobertos ou substituídos. Para colocações externas como parquímetros ou sinalização de eventos, verifique com mais frequência.
- Use uma página de destino reconhecível: Quando os clientes escanearão seu QR code, devem chegar a uma página com sua marca, seu domínio e uma explicação clara do que estão vendo. Uma página com identidade visual constrói confiança e torna falsificações mais fáceis de identificar.
- Use seu próprio domínio: Evite encurtadores de URL genéricos que obscurecem o destino. Um código que leva a 'seunegocio.com.br/cardapio' é muito mais confiável do que um que leva a 'bit.ly/3xK9z2'. Os clientes aprenderam a desconfiar de URLs encurtadas.
- Eduque sua equipe: Certifique-se de que seus funcionários saibam como seus QR codes devem ser e onde estão posicionados. Se um membro da equipe notar um código que parece diferente ou um adesivo que não estava lá ontem, deve comunicar imediatamente.
O que fazer se você escaneou um QR code suspeito
Se você escaneou um QR code e algo parece errado — a página pareceu suspeita, você inseriu informações das quais agora se arrepende ou seu celular começou a se comportar de forma estranha — aja imediatamente.
- Feche a página e limpe seu histórico e cache do navegador.
- Se inseriu uma senha, mude-a imediatamente no site legítimo. Se usar essa senha em outros lugares, mude lá também.
- Se inseriu dados do cartão de crédito, ligue para o banco ou operadora do cartão imediatamente. Eles podem bloquear o cartão e reverter cobranças fraudulentas.
- Execute uma verificação de segurança no seu celular. Tanto iOS quanto Android têm recursos de segurança integrados, e apps de antivírus confiáveis podem verificar a presença de malware.
- Monitore suas contas nas próximas semanas. Configure alertas de transação no banco e cartão de crédito para ser notificado de qualquer atividade incomum.
O panorama geral: QR codes ainda são seguros quando usados com sabedoria
Nada disso significa que você deve parar de escanear QR codes. A tecnologia em si não é perigosa — o risco vem de para onde o código envia você, assim como qualquer link na internet. Um QR code é simplesmente uma forma de codificar uma URL. A mesma cautela que você aplica ao clicar em links de e-mails deve ser aplicada ao escanear códigos no mundo real.
A grande maioria dos QR codes que você encontra são legítimos. Cardápios de restaurante, senhas de WiFi, ingressos de eventos, cartões de visita — todos são aplicações seguras e úteis. O segredo é a conscientização. Reserve dois segundos para verificar a URL antes de tocar, procure sinais de adulteração em códigos físicos e confie nos seus instintos. Se algo parecer estranho, provavelmente é.