Como evitar golpes com códigos QR ou Quishing
Plano do artigo
Provavelmente já digitalizou dezenas de códigos QR este mês sem pensar duas vezes – num restaurante, num parquímetro, talvez num terminal de pagamento na caixa. Essa confiança automática é exatamente o que os burlões estão a explorar neste momento, e os números são difíceis de ignorar.
O phishing por código QR – mais conhecido como quishing – aumentou 587% entre 2022 e 2023, e registou um novo aumento de 25% em 2025, com mais de 26 milhões de americanos já redirecionados para sites maliciosos desta forma. E eis a parte incómoda: apenas 39% dos consumidores conseguem identificar com segurança códigos QR infetados antes que seja tarde demais, o que significa que a grande maioria está a digitalizar completamente às cegas.
Então, o que se passa realmente, como é que os atacantes conseguem fazê-lo e o que pode fazer a esse respeito? Vamos analisar a situação.
Quishing (QR + phishing) é a prática de esconder links perigosos dentro de códigos QR para redirecionar as pessoas para sites falsos, roubar credenciais ou instalar malware. Pense nisso como um hack clássico de código QR – mas envolto num formato que o olho humano simplesmente não consegue descodificar.
Esse é o problema central da segurança dos códigos QR: ao contrário de um link normal num e-mail, sobre o qual pode passar o cursor e pré-visualizar, um código QR não revela nada até que o seu navegador já tenha carregado o destino. Não há nenhum domínio mal escrito para detectar, nem texto âncora suspeito para notar. O perigo dos códigos QR é invisível por definição – e é exatamente isso que torna o quishing tão eficaz em comparação com os esquemas tradicionais.
É por isso que os códigos QR apareceram em 22% de todos os ataques de phishing em 2024–2025. Eles contornam a maioria dos filtros de e-mail automatizados porque as ferramentas de segurança não conseguem ler o URL codificado dentro de uma imagem.
Compreender o panorama completo das ameaças dos códigos QR ajuda-o a reconhecer as ameaças antes de se tornar uma vítima. Aqui estão os padrões de ataque mais comuns em 2025.
O método físico mais comum envolve autocolantes com códigos QR falsos colocados diretamente sobre códigos legítimos – em parquímetros, mesas de restaurantes, sinais de trânsito ou expositores de lojas. Pensa que está a abrir um link para um mapa ou a pagar num terminal de pagamento. Na realidade, os dados do seu cartão estão a ir diretamente para o portal falso de um burlão. Uma rápida inspeção física – verificar se o código está plano ou se parece ter sido sobreposto – pode salvá-lo completamente desta situação.
Uma vez que as pessoas costumam digitalizar códigos QR com os seus telemóveis, os URLs incorporados contornam as ferramentas de segurança de computadores, como firewalls e bloqueadores de URLs de terminais. Isto torna o hacking de códigos QR através de e-mail particularmente eficaz. A mensagem parece ter vindo da Microsoft, do seu banco ou do departamento de TI da sua empresa – completa com logótipos e formatação profissional.
Uma percentagem significativa de 27% destes ataques de quishing utiliza alertas falsos de autenticação multifator: «A sua sessão expirou – digitalize para verificar novamente.» Essa urgência é criada para o impedir de pensar duas vezes.
Este é um dos perigos mais ignorados da leitura de códigos QR: só em meados de 2024 foram detetados meio milhão de e-mails de phishing com códigos QR incorporados em anexos PDF. O documento parece legítimo – uma fatura, um extrato de benefícios, um aviso de entrega – e o código QR no seu interior parece ser um atalho conveniente. A FTC também assinalou um aumento nos esquemas fraudulentos por correio físico, em que links de malware com códigos QR chegam impressos em guias de remessa falsas ou contas de serviços públicos.
A evolução mais recente e preocupante das ameaças de cibersegurança de quishing envolve páginas de phishing geradas por IA que são quase indistinguíveis das reais. Os atacantes podem agora criar uma página falsa e convincente de reserva ou de login no PayPal em minutos, adaptada a um alvo específico, com branding realista e texto personalizado. Isto tornou a prevenção de fraudes com códigos QR significativamente mais difícil, tanto para indivíduos como para organizações.
Mas a ameaça vai muito além das páginas de login falsas. A IA está agora a ser utilizada em todas as fases do processo de ataque – desde a seleção do alvo até à entrega e à evasão.
A implicação prática é clara: as pistas visuais e contextuais que outrora ajudavam as pessoas a identificar um esquema estão a tornar-se pouco fiáveis. O cepticismo em relação à fonte – e não apenas à aparência – é agora o filtro mais importante.
Os riscos de segurança dos códigos QR não estão distribuídos uniformemente. Alguns setores enfrentam uma exposição drasticamente maior devido à natureza da sua utilização de códigos QR e ao valor dos dados que tratam.
| Setor | Por que é alvo | Vetor de ataque comum |
|---|---|---|
| Finanças e banca | Credenciais de alto valor, dados de pagamento | Páginas de login falsas de aplicações bancárias, portais falsificados do PayPal/Venmo com recolha de credenciais |
| Saúde | Dados confidenciais de pacientes, sistemas legados | Formulários falsos de pacientes enviados por e-mail, códigos QR em documentos de admissão impressos |
| Educação | Grande base de utilizadores, menor sensibilização para a segurança | Portais de login Wi-Fi falsos no campus, códigos QR em materiais didáticos em PDF |
| Retalho & comércio eletrónico | Processamento de pagamentos, elevado tráfego de pessoas | Golpes com autocolantes sobre terminais de pagamento legítimos, códigos falsos de desconto ou de fidelidade |
| Restaurantes & Turismo | Elevada utilização de QR, colocação em locais públicos | Substituição de QR codes de menus por páginas de encomendas falsas, portais Wi-Fi falsos nos átrios |
| Governo | Exploração da confiança pública | Formulários de autorização falsos, portais de pagamento de impostos falsificados que imitam sites oficiais |
| Logística | Urgência na entrega de encomendas | URLs de rastreamento falsos enviados por SMS, códigos QR em guias de entrega falsificadas |
| Imobiliário | Transações de alto valor | Páginas falsas de anúncios imobiliários, formulários de assinatura de documentos fraudulentos, com roubo de credenciais |
Os funcionários do retalho apresentam a taxa mais elevada de falhas na deteção de atividades maliciosas relacionadas com códigos QR, enquanto os setores financeiro, industrial e da saúde se encontram consistentemente entre os mais visados. Notavelmente, os problemas de segurança com códigos QR no setor da saúde acarretam consequências especialmente graves – os dados dos pacientes, as credenciais de seguros e os sistemas internos estão todos em risco.
Crie
Código QR agora!
Coloque o link do seu código QR, adicione o nome do seu QR, selecione a categoria de conteúdo e gere!
Aqui está um guia prático para se manter seguro – quer seja um utilizador individual, um empresário ou responsável por materiais de marketing que incluam códigos QR.
A maioria dos smartphones modernos mostra-lhe o link de destino imediatamente após a leitura, antes de o navegador carregar qualquer coisa. Este hábito de dez segundos é a base da segurança dos códigos QR – não o ignore.
Ao verificar o URL, preste atenção ao seguinte:
Utilize uma aplicação segura para ler códigos QR – não apenas a câmara predefinida do seu telemóvel. Um verificador de segurança de códigos QR adequado irá sinalizar domínios maliciosos conhecidos antes de abrir qualquer coisa, proporcionando-lhe uma verdadeira camada de proteção, em vez de apenas conveniência.
A deteção de adulteração é uma preocupação real em locais de grande afluência. Antes de digitalizar qualquer coisa em público, observe atentamente: o código está bem encostado à superfície ou parece ligeiramente saliente? As bordas estão limpas ou parece ser um autocolante aplicado sobre outra coisa?
Isto é especialmente importante em parquímetros, estações de transportes públicos e em qualquer lugar onde esteja envolvida a segurança de pagamentos por código QR – precisamente os locais mais visados pelos burlões, porque a urgência e a distração jogam a seu favor.
É aqui que o phishing por QR causa mais danos. Empresas legítimas – bancos, fornecedores de software, departamentos de RH – não pedem que digitalize um código QR para verificar a sua identidade ou redefinir a sua palavra-passe por e-mail. Se receber uma mensagem deste tipo, aceda diretamente ao site oficial da empresa digitando o endereço manualmente.
Nunca digitalize um código QR de uma imagem ou anexo PDF que não esperava receber, independentemente de quão oficial pareça. Isto aplica-se também a mensagens reencaminhadas pelo WhatsApp e SMS – os hackers que utilizam códigos QR já ultrapassaram há muito os limites do e-mail.
Nem todas as aplicações de leitura oferecem o mesmo nível de proteção. Uma câmara básica limita-se a ler o padrão – um leitor de códigos QR mais seguro cruza ativamente o URL de destino com bases de dados de ameaças em tempo real. Procure aplicações que ofereçam explicitamente funcionalidades de segurança para a leitura de códigos QR: pré-visualização do URL, deteção de malware e verificações da reputação do domínio.
Verificar os códigos QR antes de agir é o hábito mais eficaz que pode adotar. Se uma aplicação não lhe mostrar o link antes de o abrir, procure uma que o faça.
Esteja atento a estes sinais de alerta, independentemente do contexto – quer esteja a digitalizar um QR para uma página de redes sociais, uma rede Wi-Fi, um contacto vCard ou um link de pagamento:
Erros acontecem – eis como limitar os danos. Desligue-se imediatamente do Wi-Fi e dos dados móveis para cortar a comunicação com o servidor do atacante. Execute uma verificação utilizando uma aplicação de segurança móvel de confiança. Altere todas as palavras-passe introduzidas após a verificação, dando prioridade às contas financeiras e profissionais. Verifique o histórico de instalações das suas lojas de aplicações para ver se há algo desconhecido, revogue permissões desconhecidas e contacte imediatamente o seu banco se estiverem envolvidos detalhes de pagamento.
Se a sua organização utiliza códigos QR em de marketing campanhas, fluxos de comércio eletrónico, anúncios imobiliários, formulários de admissão em cuidados de saúde ou ementas de restaurantes – garantir a segurança dos códigos QR faz parte da sua responsabilidade para com os utilizadores.
Recursos eficazes de segurança de códigos QR para empresas incluem o uso de códigos estilizados com o seu logótipo e as cores da marca (que são mais difíceis de falsificar de forma convincente), comunicar claramente aos utilizadores o que devem esperar ver após a verificação e inspecionar rotineiramente os códigos expostos ao público em busca de sinais de adulteração.
Além disso, a segurança do gerador de códigos QR é fundamental. Um gerador de códigos QR de alta segurança verifica o URL de destino no momento da criação, bloqueando links maliciosos, spam e conteúdos proibidos antes mesmo de o código ser publicado. O Me-QR faz exatamente isso: todos os códigos QR dinâmicos gerados através do serviço são automaticamente verificados quanto à presença de malware, conteúdos de phishing e violações das políticas, para que nem você nem os seus clientes fiquem expostos a riscos de segurança relacionados com os códigos QR através dos seus próprios materiais.
Os perigos da utilização de códigos QR não são inerentes à tecnologia em si – residem no destino a que o código conduz e na sua disposição para verificar. Manter-se seguro não significa evitar os códigos QR — significa saber o que procurar antes de digitalizar.
Verifique o URL. Inspecione o código físico. Use um scanner de segurança de QR que faça a verificação por si. Os burlões por trás destes ataques a códigos QR contam com o piloto automático. E, estatisticamente, têm razão – 61% das pessoas ainda digitalizam sem verificar para onde o código leva. Esse número é a verdadeira vulnerabilidade. Elimine-a e já terá feito mais do que a maioria.
Gerencie seus códigos QR!
Reúna todos os seus códigos QR em um só lugar, veja as estatísticas e altere o conteúdo criando uma conta
Inscrever-se
Este artigo foi útil?
Clique em uma estrela para avaliá-lo!
Obrigado pelo seu voto!
Classificação média: 5/5 Votos: 2
Seja o primeiro a avaliar este post!
Crie códigos com nosso gerador de código QR gratuito. Interface compreensível, variedade na escolha do tipo do seu código QR e a capacidade de visualizar as estatísticas!
Baixe nosso aplicativo
Agora é simples e fácil de criar e digitalizar códigos QR!
Jurídico
Nossa newsletter
Crie códigos com nosso gerador de código QR gratuito. Interface compreensível, variedade na escolha do tipo do seu código QR e a capacidade de visualizar as estatísticas!
Baixe nosso aplicativo
Agora é simples e fácil de criar e digitalizar códigos QR!
Copyright © 2018- Me-Team
