Fraudes com Códigos QR (Quishing): A Ameaça à Vista de Todos
As fraudes com códigos QR, chamadas quishing, estão a aumentar vertiginosamente em 2026. Saiba como os códigos QR falsos roubam o seu dinheiro e dados, onde os burlões os colocam, e como digitalizar com segurança antes de tocar.
· Truvizy Research Team · 8 min read
TL;DR
O quishing é phishing por código QR: os burlões substituem códigos QR legítimos em menus de restaurantes, parquímetros, etiquetas de encomendas e cartazes públicos por códigos que redirecionam para sites de roubo de credenciais. Como a câmara do seu telemóvel apresenta apenas um pequeno URL antes de abrir, a maioria das pessoas nunca nota a troca. Verifique sempre o URL de destino antes de abrir qualquer ligação de código QR, use um leitor QR com verificações de segurança integradas e, em caso de dúvida, escreva o endereço web oficial manualmente.
Entra num parque de estacionamento, digitaliza o código QR no quiosque de pagamento e introduz o seu cartão de crédito para pagar o seu lugar. A transação parece ter sido concluída. Mais tarde nessa tarde, o seu banco liga por causa de três débitos fraudulentos do estrangeiro. Nunca entregou o seu cartão a ninguém. Nunca clicou num e-mail suspeito. Tudo o que fez foi digitalizar um código QR, e isso foi suficiente. Bem-vindo ao quishing: a burla de crescimento mais rápido que a maioria das pessoas nunca ouviu falar.
Os códigos QR foram concebidos por conveniência, digitalizar e ir. Mas essa mesma experiência sem fricção que os torna apelativos para as empresas também os torna perigosos nas mãos de burlões. Ao contrário de uma ligação suspeita de e-mail sobre a qual pode passar o rato para pré-visualizar, um código QR não revela nada até depois de ter apontado a câmara para ele. No momento em que vê o URL de destino, muitas vítimas já tocaram em "abrir". Essa fratura de segundo é exatamente o que o quishing explora.
O que é o Quishing?
O quishing, um acrónimo de "QR" e "phishing", é a prática de incorporar URLs maliciosos dentro de códigos QR para redirecionar as vítimas para sites fraudulentos. A burla pode assumir várias formas: substituir fisicamente um código legítimo por um autocolante falso em espaços públicos, enviar códigos QR por e-mail ou mensagem de texto que contornam os filtros de spam tradicionais, ou criar documentos falsos (faturas, multas de estacionamento, avisos de encomendas) que apresentam códigos fraudulentos de forma proeminente.
O Centro de Reclamações de Crimes na Internet do FBI sinalizou o quishing como uma ameaça prioritária emergente em 2024, e os números só pioraram desde então. As empresas de cibersegurança documentaram um aumento de 587% nos ataques de phishing baseados em código QR entre 2024 e 2025. A técnica tornou-se popular entre os grupos de fraude organizada porque é barata de executar, difícil de detetar em escala e especificamente projetada para contornar as ferramentas de segurança de e-mail que não conseguem ler URLs incorporados em imagens.
O quishing faz parte de uma mudança mais ampla nas táticas de burla para ataques orientados ao mobile. Como documentámos na nossa análise de como a IA está a acelerar a sofisticação das burlas, os fraudadores estão especificamente a visar as ferramentas e hábitos que as pessoas adotaram durante a era dos smartphones, e os códigos QR são um dos hábitos mobile mais amplamente adotados dos últimos cinco anos.
Como Funcionam as Fraudes com Códigos QR
A mecânica de um ataque de quishing é enganosamente simples. Um atacante gera um código QR que codifica um URL malicioso, tipicamente uma versão clonada de uma página de início de sessão bancária, portal de pagamento ou serviço governamental. A página falsa é concebida para parecer idêntica à legítima, capturando quaisquer credenciais ou informações de pagamento que a vítima introduza.
Nos ataques físicos, o burlão imprime o código fraudulento num autocolante e coloca-o sobre o código legítimo num parquímetro, mesa de restaurante ou quadro de avisos público. A troca demora segundos. O atacante pode então sair da área e recolher os dados roubados remotamente. Um único autocolante bem colocado num parquímetro movimentado pode capturar dezenas de vítimas por dia.

O quishing por e-mail segue um manual diferente. Os atacantes enviam mensagens personificando bancos, departamentos de RH ou transportadoras, afirmando que o destinatário precisa de verificar a sua conta ou rastrear uma entrega, e incluindo um código QR para "digitalizar com o seu telemóvel para maior segurança". Esta instrução é deliberada: mover a interação para um dispositivo móvel afasta a vítima do computador corporativo com as suas ferramentas de segurança e coloca-a num telemóvel pessoal com menos proteções.
Uma vez na página falsa, a vítima depara-se com um formulário polido de recolha de credenciais. Os ataques mais avançados utilizam técnicas de transmissão em tempo real: à medida que a vítima introduz o seu nome de utilizador e palavra-passe, o atacante insere essas credenciais no site real simultaneamente, depois transmite o prompt de autenticação de dois fatores de volta à vítima, contornando completamente as proteções 2FA.
Tem dúvidas sobre uma ligação de um código QR? Cole o URL no Truvizy para verificar indicadores de phishing antes de introduzir qualquer informação.
Onde Aparecem Códigos QR Falsos
Os parquímetros e quiosques de pagamento estão entre os locais mais visados nos EUA. O Departamento de Transportes do Texas documentou dezenas de autocolantes de código QR falsos em parquímetros nas principais cidades em 2024. As vítimas introduziram detalhes completos do cartão de crédito esperando pagar o estacionamento e em vez disso entregaram os seus dados financeiros diretamente aos burlões. A burla funciona especialmente bem porque o pagamento de estacionamento é stressante, os condutores frequentemente têm pressa e não examinam de perto a interface de pagamento.
Os cartões de mesa e menus de restaurantes tornaram-se um vetor importante à medida que o atendimento sem contacto se expandiu após a pandemia. Um autocolante com um código QR fraudulento colocado sobre ou ao lado de um código legítimo pode redirecionar os clientes para um menu falso ou página de pagamento. Em alguns casos, a página falsa até apresenta um menu convincente antes de redirecionar para um formulário de recolha de credenciais alegando que o restaurante mudou para encomendas online.
As etiquetas de devolução de encomendas representam uma categoria de ataque em crescimento rápido. As vítimas recebem encomendas, por vezes não solicitadas, por vezes como parte de uma campanha de prémios falsa, contendo etiquetas de devolução com códigos QR. Digitalizar o código supostamente inicia uma devolução, mas em vez disso leva a um portal falso de retalhista que solicita informações de cartão de crédito para "processamento de reembolso".
Os transportes públicos e paragens de autocarro apresentam risco considerável porque a sinalização é gerida por municípios com capacidade de monitorização limitada. Códigos fraudulentos em mapas de transporte, quiosques de bilhética ou ecrãs de pagamento de tarifas podem passar despercebidos durante dias antes de serem removidos. No Reino Unido, a Transport for London removeu centenas de códigos QR fraudulentos das estações em 2025.
Os ataques por e-mail e documento visam as empresas tanto quanto os consumidores. Faturas falsas contendo códigos QR para "pagamento seguro", notificações fraudulentas de RH exigindo que os funcionários digitalizem um código para atualizar informações de salário e avisos falsos de entrega de encomendas são todos vetores de ataque empresarial comuns. Como discutido no nosso guia de deteção de e-mails de phishing, os ataques por e-mail estão a tornar-se mais sofisticados no uso de elementos visuais para escapar à filtragem automatizada.
Os folhetos falsos de caridade e angariação de fundos exploram a generosidade. Após desastres naturais ou grandes eventos noticiosos, folhetos fraudulentos com códigos QR de doação aparecem em quadros de avisos comunitários, em supermercados e nas redes sociais. Os códigos ligam a páginas de pagamento de caridade falsas convincentes que capturam doações e dados do cartão sem nunca fazer uma doação real.
Por que as Fraudes com Códigos QR São Tão Eficazes
A eficácia do quishing decorre de uma incompatibilidade fundamental de confiança. Os códigos QR estão associados à conveniência e modernidade, são colocados por empresas legítimas em materiais oficiais. As pessoas foram treinadas ao longo de anos de utilização para confiar no contexto físico de um código QR mais do que confiam numa ligação aleatória de e-mail. Um código numa mesa de restaurante ou num parquímetro carrega um endosso implícito do próprio local.
As aplicações de câmara oferecem atrito mínimo. A maioria dos smartphones reconhece automaticamente os códigos QR e exibe uma pequena pré-visualização de URL que os utilizadores instintivamente descartam sem ler. A janela de pré-visualização é pequena, o URL é frequentemente longo ou encurtado, e a tendência natural do cérebro para correspondência de padrões significa que os utilizadores frequentemente veem o que esperam em vez do que está realmente lá. Um URL como "secure-payment-parkingzone.com" é lido como "estacionamento" por um utilizador distraído, embora sinalize perigo para um utilizador cuidadoso.
Chega a um parquímetro e digitaliza o código QR. A câmara do seu telemóvel mostra um URL de pré-visualização: 'parking-pay-secure-city.com/pay'. O parquímetro está numa grande cidade. O que deve fazer?
- Abrir a ligação imediatamente, menciona a cidade por isso deve ser legítima
- Verificar o URL cuidadosamente: corresponde ao domínio oficial de estacionamento da sua cidade? Se não, não prossiga
- Digitalizar novamente para confirmar
- Pagar em dinheiro em alternativa
Answer: Domínios que soam genéricos como 'parking-pay-secure-city.com' são um grande sinal de alerta. O sistema oficial de estacionamento da sua cidade terá um domínio específico e bem conhecido (por exemplo, paybyphone.com ou o site.gov oficial da sua cidade). Verifique sempre se o URL de destino corresponde ao domínio oficial esperado antes de introduzir qualquer informação de pagamento, ou use a ranhura de cartão físico se disponível.
O contexto móvel também remove muitas das ferramentas de segurança que as pessoas têm nos computadores de secretária. A proteção de endpoint corporativa, as extensões de navegador que sinalizam sites de phishing e o hábito de passar o rato sobre as ligações para as pré-visualizar não se traduzem para mobile. Num telemóvel, o utilizador está largamente por conta própria.
Como Identificar um Código QR Falso
Inspecione o código fisicamente. Procure autocolantes colocados sobre materiais impressos. Os autocolantes falsos têm frequentemente um tipo de papel ligeiramente diferente, um ligeiro desalinhamento com os elementos de design circundantes ou arestas visíveis onde o autocolante se sobrepõe ao texto impresso. Passe a unha ao longo da superfície, um autocolante em camadas geralmente tem uma aresta ligeiramente levantada.
Leia o URL completo antes de tocar. Depois de a sua câmara digitalizar um código, aparece uma notificação ou banner de pré-visualização. Pare antes de tocar e leia o URL completo. Procure: o nome do negócio esperado no domínio (não um sufixo ou prefixo), um domínio de nível superior legítimo (.com,.gov,.org, não extensões incomuns como.xyz ou.top), e a ausência de palavras extra como "seguro", "login", "verificar" ou "pagamento" adicionadas ao que parece ser um nome de marca.
Desconfie da urgência. Códigos acompanhados de linguagem como "Digitalize imediatamente", "Oferta por tempo limitado" ou "Necessário para acesso" são projetados para o fazer agir antes de pensar. As empresas legítimas tipicamente não usam linguagem urgente e de alta pressão em torno de códigos QR de pagamento.
Verifique com os canais oficiais. Antes de digitalizar um código QR de um e-mail ou documento que alega ser do seu banco, departamento de RH ou de uma transportadora, verifique se essa organização realmente enviou a comunicação contactando-a diretamente através do seu site oficial ou aplicação. Nunca use informações de contacto fornecidas na mesma mensagem que contém o código QR. Para avaliar ligações e conteúdo suspeitos de fontes desconhecidas, a ferramenta de digitalização do Truvizy pode ajudá-lo a avaliar o risco antes de se comprometer com qualquer ação.
Use a alternativa quando disponível. Se um código QR é a única opção de pagamento num parquímetro ou quiosque, considere usar a ranhura de cartão físico, pagar através de uma aplicação oficial dedicada que transferiu de uma loja de aplicações verificada ou encontrar outro método. A conveniência nunca deve sobrepor-se à segurança quando estão em causa pagamento ou informações pessoais.

O que Fazer Se Foi Burlado
Se digitalizou um código, abriu a ligação e introduziu informações, aja depressa. Cada minuto de atraso dá ao atacante mais tempo para usar os seus dados.
Se introduziu dados do cartão de pagamento: Ligue imediatamente para a linha de fraude do seu banco (use o número no verso do seu cartão, não qualquer número do site suspeito). Solicite o congelamento ou substituição do cartão. Peça ao banco para sinalizar quaisquer débitos a partir do momento em que introduziu as informações.
Se introduziu credenciais de início de sessão: Altere a sua palavra-passe imediatamente a partir de um dispositivo separado e de confiança. Ative a autenticação de dois fatores se ainda não estiver ativa. Verifique se há dispositivos ou sessões desconhecidos com sessão iniciada na conta e remova-os. Se usar a mesma palavra-passe noutros locais, altere-as também.
Coloque um alerta de fraude no seu ficheiro de crédito junto de uma das três principais agências (Equifax, Experian, TransUnion), isto notifica automaticamente as outras duas. Se acreditar que a sua identidade foi comprometida, considere um bloqueio de crédito, que é gratuito e impede a abertura de novas contas em seu nome. O nosso guia abrangente sobre prevenção do roubo de identidade abrange o processo de recuperação completo em detalhe.
Proteja-se de burlas com código QR e outras ameaças móveis com deteção de fraude com recurso a IA.
Proteger-se no Futuro
O hábito mais importante é pausar antes de tocar. Todo o design do quishing baseia-se no facto de que a digitalização de QR parece automática e instantânea. Quebrar essa resposta automática, mesmo por dois segundos para ler o URL, interrompe o ataque. Faça disto uma regra: pré-visualize primeiro o URL, abra depois.
Use uma aplicação dedicada de leitura de código QR que realiza verificações de segurança em tempo real no URL descodificado antes de o apresentar. Estas aplicações, disponíveis gratuitamente pelos principais fornecedores de segurança, funcionam como um verificador de URL integrado no seu fluxo de digitalização. São o equivalente móvel de passar o rato sobre uma ligação antes de clicar.
Mantenha o sistema operativo e o navegador do seu telemóvel atualizados. As atualizações de segurança frequentemente fecham vulnerabilidades que os ataques de transferência automática exploram quando um site malicioso é visitado. Um telemóvel sem as atualizações aplicadas é significativamente mais vulnerável à segunda fase de um ataque de quishing, mesmo que as suas credenciais estejam seguras.
Ative a autenticação de dois fatores usando uma aplicação autenticadora, não SMS. Como observámos no nosso guia sobre smishing e burlas por mensagem de texto, o 2FA baseado em SMS pode ser intercetado. Uma aplicação autenticadora gera códigos localmente no seu dispositivo, tornando os ataques de transmissão em tempo real significativamente mais difíceis.
Denuncie códigos suspeitos onde quer que os encontre. Se detetar um autocolante que parece suspeito num código QR público, fotografe o local e denuncie ao negócio ou às autoridades locais. Remover um autocolante malicioso em poucas horas pode proteger dezenas de outras potenciais vítimas.
Key Takeaways
- Leia sempre o URL de destino completo na pré-visualização da câmara antes de tocar em qualquer ligação de código QR, especialmente em parquímetros, restaurantes e paragens de transportes.
- Autocolantes de código QR falsos podem aparecer sobre códigos legítimos e são quase impossíveis de detetar sem inspeção física das arestas sobrepostas.
- Os códigos QR em e-mails contornam a maioria dos filtros de phishing corporativos, trate-os com o mesmo ceticismo que aplicaria a qualquer ligação de e-mail.
- Se introduziu dados de pagamento ou início de sessão num site suspeito, contacte o seu banco imediatamente e altere as palavras-passe afetadas a partir de um dispositivo separado.
Os códigos QR não vão desaparecer, e os burlões que os exploram também não. À medida que os pagamentos sem contacto, menus digitais e serviços orientados ao mobile se tornam mais incorporados na vida quotidiana, o quishing tornar-se-á mais sofisticado e mais omnipresente. O antídoto é a consciencialização: saber que qualquer código QR físico pode ser substituído, que qualquer código num e-mail pode ligar a qualquer lugar, e que os dois segundos que demora a ler um URL antes de tocar podem ser os dois segundos que o poupam a uma lição muito cara.
Os planos de proteção do Truvizy incluem ferramentas para analisar URLs e ligações suspeitos, cole um URL descodificado de qualquer código QR no Truvizy antes de o abrir e obtenha uma avaliação instantânea da sua legitimidade com recurso a IA. Num panorama de ameaças onde os burlões estão a esconder ligações maliciosas dentro de imagens, ter uma ferramenta que verifica o destino real já não é opcional, é essencial.
Smishing: Por que Aquela Mensagem do Seu Banco é Provavelmente uma Burla — Phishing baseado em texto que partilha o mesmo manual psicológico que o quishing.
Deteção de E-mails de Phishing — Como identificar ataques baseados em e-mail, incluindo aqueles que usam códigos QR para contornar filtros.
Ataques de Engenharia Social — As técnicas de manipulação psicológica por detrás do quishing e de todas as burlas modernas.
FAQ
O que é o quishing?
O quishing é phishing por código QR, uma burla em que os atacantes substituem ou criam códigos QR falsos que redirecionam as vítimas para sites maliciosos concebidos para roubar credenciais de início de sessão, informações de pagamento ou instalar malware no seu dispositivo.
Como posso saber se um código QR é falso antes de o digitalizar?
Inspecione o código fisicamente: procure autocolantes colocados sobre um código original, danos no material circundante ou códigos que pareçam ligeiramente diferentes dos próximos. Após digitalizar, verifique sempre o URL de destino completo na pré-visualização da aplicação de câmara antes de tocar em "abrir". Se o URL não corresponder exatamente ao domínio esperado do negócio, não prossiga.
Digitalizar um código QR pode instalar malware no meu telemóvel?
Simplesmente digitalizar um código QR com a sua câmara não instala malware, mas abrir a ligação resultante pode. Sites maliciosos podem tentar transferências automáticas, phishing de credenciais ou solicitar-lhe que instale uma aplicação falsa. Mantenha o sistema operativo do seu telemóvel atualizado, evite permitir instalações de aplicações de fontes desconhecidas e use um leitor QR com verificação de segurança de URL integrada.
Quais os locais com maior risco de códigos QR falsos?
Os locais de alto risco incluem parquímetros, mesas e menus de restaurantes, paragens de transportes públicos, etiquetas de devolução de encomendas, lobbies de hotéis e folhetos publicados em locais públicos. Qualquer espaço físico sem vigilância onde alguém pudesse substituir um código durante a noite sem ser detetado é um potencial alvo.
O que devo fazer se já digitalizei e introduzi informações num site suspeito?
Aja imediatamente: altere as palavras-passe que introduziu, contacte o seu banco se forneceu dados de pagamento, ative a autenticação de dois fatores nas contas afetadas e monitorize o seu relatório de crédito. Denuncie o incidente à FTC em reportfraud.ftc.gov e, se foi em propriedade de um negócio, alerte-o para que possa substituir o código comprometido.