Golpes com Código QR (Quishing): A Ameaça Escondida à Vista de Todos
Golpes com código QR, chamados de quishing, estão em alta em 2026. Saiba como QR codes falsos roubam seu dinheiro e dados, onde golpistas os colocam e como escanear com segurança antes de abrir.
· Truvizy Research Team · 8 min read
TL;DR
Quishing é phishing por código QR: golpistas substituem QR codes legítimos em cardápios de restaurantes, parquímetros, etiquetas de encomendas e cartazes públicos por códigos que redirecionam para sites que roubam credenciais. Como a câmera do seu celular mostra apenas uma URL pequena antes de você abrir, a maioria das pessoas nunca percebe a troca. Sempre verifique a URL de destino antes de abrir qualquer link de código QR, use um leitor de QR com verificação de segurança integrada e, em caso de dúvida, digite o endereço oficial do site manualmente.
Você chega em um estacionamento, escaneia o QR code no totem de pagamento e digita os dados do cartão de crédito para pagar a vaga. A transação parece ter dado certo. Mais tarde, à noite, seu banco liga informando três cobranças fraudulentas do exterior. Você não entregou o cartão a ninguém. Não clicou em nenhum e-mail suspeito. Tudo que você fez foi escanear um QR code, e isso foi suficiente. Bem-vindo ao quishing: o golpe que mais cresce e que a maioria das pessoas nunca ouviu falar.
Os QR codes foram criados para facilitar a vida, escaneie e pronto. Mas essa mesma experiência sem atrito que os torna atraentes para empresas também os torna perigosos nas mãos de golpistas. Diferente de um link suspeito em e-mail que você pode passar o cursor para visualizar, um QR code não revela nada até que você aponte a câmera para ele. Quando você vê a URL de destino, muitas vítimas já tocaram em 'abrir'. Essa fração de segundo é exatamente o que o quishing explora.
O Que É Quishing?
Quishing, junção de 'QR' e 'phishing', é a prática de incorporar URLs maliciosas em QR codes para redirecionar vítimas para sites fraudulentos. O golpe pode assumir várias formas: substituição física de um código legítimo por um adesivo falso em espaços públicos, envio de QR codes por e-mail ou SMS que bypassam filtros de spam tradicionais, ou criação de documentos falsos (boletos, notificações de entrega, avisos de estacionamento) com códigos fraudulentos em destaque.
O Centro de Reclamações de Crimes na Internet do FBI apontou o quishing como ameaça prioritária emergente em 2024, e os números só pioraram desde então. Empresas de cibersegurança documentaram um aumento de 587% em ataques de phishing baseados em QR code entre 2024 e 2025. A técnica se popularizou entre quadrilhas organizadas de fraude por ser barata de executar, difícil de detectar em escala e especificamente projetada para contornar ferramentas de segurança de e-mail que não conseguem ler URLs embutidas em imagens.
O quishing faz parte de uma mudança mais ampla nas táticas de golpe em direção a ataques mobile-first. Como documentamos em nossa análise de como a IA está acelerando a sofisticação dos golpes, fraudadores visam especificamente as ferramentas e hábitos que as pessoas adotaram na era dos smartphones, e os QR codes são um dos hábitos mobile mais difundidos dos últimos cinco anos.
Como Funcionam os Golpes com QR Code
A mecânica de um ataque de quishing é enganosamente simples. O atacante gera um QR code que codifica uma URL maliciosa, geralmente uma versão clonada de uma página de login de banco, portal de pagamento ou serviço governamental. A página falsa é projetada para parecer idêntica à legítima, capturando quaisquer credenciais ou informações de pagamento que a vítima inserir.
Em ataques físicos, o golpista imprime o código fraudulento em um adesivo e o coloca sobre o código legítimo em um parquímetro, mesa de restaurante ou mural público. A troca leva segundos. O atacante pode então deixar o local e coletar dados roubados remotamente. Um único adesivo bem posicionado em um parquímetro movimentado pode capturar dezenas de vítimas por dia.

O quishing por e-mail segue um roteiro diferente. Atacantes enviam mensagens se passando por bancos, departamentos de RH ou transportadoras, alegando que o destinatário precisa verificar sua conta ou rastrear uma entrega, e incluindo um QR code para 'escanear com seu celular para maior segurança'. Essa instrução é deliberada: mover a interação para o celular afasta a vítima do computador corporativo com suas ferramentas de segurança e a leva para um telefone pessoal com menos proteções.
Na página falsa, a vítima encontra um formulário sofisticado de coleta de credenciais. Ataques mais avançados usam técnicas de relay em tempo real: enquanto a vítima digita usuário e senha, o atacante insere essas credenciais no site real simultaneamente, e então retransmite o prompt de autenticação em dois fatores de volta para a vítima, contornando completamente as proteções de 2FA.
Com dúvidas sobre um link de um QR code? Cole a URL no Truvizy para verificar indicadores de phishing antes de inserir qualquer informação.
Onde Aparecem os QR Codes Falsos
Parquímetros e totens de pagamento estão entre os locais mais visados. As vítimas digitam dados completos do cartão de crédito esperando pagar o estacionamento e acabam entregando seus dados financeiros diretamente a golpistas. O golpe funciona especialmente bem porque o pagamento de estacionamento pode ser estressante, motoristas geralmente estão com pressa e não examinam a interface de pagamento com cuidado.
Mesas e cardápios de restaurantes tornaram-se um vetor importante à medida que o atendimento sem contato se expandiu após a pandemia. Um adesivo com QR code fraudulento colocado sobre ou ao lado de um código legítimo pode redirecionar os clientes para um cardápio falso ou página de pagamento. Em alguns casos, a página falsa até exibe um cardápio convincente antes de redirecionar para um formulário de coleta de credenciais alegando que o restaurante migrou para pedidos online.
Etiquetas de devolução de encomendas representam uma categoria de ataque em rápido crescimento. Vítimas recebem pacotes, às vezes não solicitados, às vezes como parte de uma campanha de prêmios falsa, contendo etiquetas de devolução com QR codes. Escanear o código supostamente inicia uma devolução, mas na verdade leva a um portal falso de varejista que solicita dados do cartão para 'processamento do reembolso'.
Pontos de transporte público e paradas de ônibus carregam risco significativo porque a sinalização é gerenciada por prefeituras com capacidade limitada de monitoramento. Códigos fraudulentos em mapas de transporte, totens de venda de bilhetes ou telas de pagamento de tarifas podem passar despercebidos por dias antes de serem removidos.
Ataques por e-mail e documentos têm como alvo empresas tanto quanto consumidores. Boletos falsos contendo QR codes para 'pagamento seguro', notificações falsas de RH exigindo que funcionários escaneiem um código para atualizar dados de folha de pagamento, e avisos falsos de entrega de encomendas são vetores comuns de ataques corporativos. Como discutido em nosso guia de detecção de e-mails de phishing, ataques por e-mail estão se tornando mais sofisticados no uso de elementos visuais para evitar filtragem automatizada.
Panfletos falsos de caridade e arrecadações exploram a generosidade. Após desastres naturais ou grandes eventos noticiosos, panfletos fraudulentos com QR codes de doação aparecem em murais comunitários, supermercados e redes sociais. Os códigos levam a páginas falsas de pagamento de caridade convincentes que capturam doações e dados de cartão sem nunca realizar uma doação real.
Por Que Golpes com QR Code São Tão Eficazes
A eficácia do quishing vem de uma incompatibilidade fundamental de confiança. QR codes estão associados à conveniência e modernidade, são colocados por empresas legítimas em materiais oficiais. As pessoas foram treinadas ao longo de anos de uso a confiar no contexto físico de um QR code mais do que em um link aleatório por e-mail. Um código em uma mesa de restaurante ou parquímetro carrega um endosso implícito do próprio local.
Os aplicativos de câmera oferecem mínima fricção. A maioria dos smartphones reconhece automaticamente QR codes e exibe uma pequena prévia de URL que os usuários instintivamente ignoram sem ler. A janela de prévia é pequena, a URL frequentemente é longa ou encurtada, e a tendência natural do cérebro de reconhecer padrões faz com que os usuários frequentemente vejam o que esperam, e não o que está realmente lá. Uma URL como 'secure-payment-parkingzone.com' é lida como 'parking' por um usuário distraído, mesmo que sinalize perigo para alguém atento.
Você chega em um parquímetro e escaneia o QR code. A câmera do seu celular mostra uma prévia de URL: 'parking-pay-secure-city.com/pay'. O parquímetro fica em uma grande cidade. O que você deve fazer?
- Abrir o link imediatamente, ele menciona a cidade, então deve ser legítimo
- Verificar a URL com atenção: ela corresponde ao domínio oficial de estacionamentos da sua cidade ou de um app como o EasyPark?
- Ir embora sem pagar, o risco não vale a pena
- Escanear novamente e torcer para dar certo
Answer: Domínios com nomes genéricos como 'parking-pay-secure-city.com' são um grande sinal de alerta. O sistema oficial de estacionamento da sua cidade terá um domínio específico e bem conhecido (ex.: easypark.com.br ou o site oficial da prefeitura). Sempre verifique se a URL de destino corresponde ao domínio oficial esperado antes de inserir qualquer dado de pagamento, ou use o leitor de cartão físico, se disponível.
O contexto mobile também elimina muitas das ferramentas de segurança que as pessoas têm em computadores desktop. Proteção de endpoint corporativo, extensões de navegador que sinalizam sites de phishing e o hábito de passar o cursor sobre links para visualizá-los não se traduzem para o mobile. No celular, o usuário está amplamente por conta própria.
Como Identificar um QR Code Falso
Inspecione o código fisicamente. Procure adesivos colados sobre materiais impressos. Adesivos falsos frequentemente têm papel ligeiramente diferente, leve desalinhamento com os elementos de design ao redor, ou bordas visíveis onde o adesivo se sobrepõe ao texto impresso. Passe a unha pela superfície, um adesivo em camadas geralmente tem uma borda levemente elevada.
Leia a URL completa antes de tocar. Após a câmera escanear um código, aparece uma notificação ou banner de prévia. Pare antes de tocá-lo e leia a URL completa. Verifique: o nome esperado da empresa na raiz do domínio (não como sufixo ou prefixo), um domínio de nível superior legítimo (.com,.gov,.br, não extensões incomuns como.xyz ou.top), e a ausência de palavras extras como 'secure', 'login', 'verify' ou 'payment' anexadas ao que parece ser um nome de marca.
Desconfie da urgência. Códigos acompanhados de linguagem como 'Escaneie imediatamente', 'Oferta por tempo limitado' ou 'Necessário para acesso' são projetados para fazer você agir antes de pensar. Empresas legítimas geralmente não usam linguagem urgente e de alta pressão em torno de QR codes de pagamento.
Verifique com canais oficiais. Antes de escanear um QR code de um e-mail ou documento que afirma ser do seu banco, departamento de RH ou transportadora, verifique se essa organização realmente enviou a comunicação entrando em contato diretamente pelo site ou aplicativo oficial. Nunca use informações de contato fornecidas na mesma mensagem que contém o QR code. Para avaliar links suspeitos e conteúdo de fontes desconhecidas, a ferramenta de análise do Truvizy pode ajudá-lo a avaliar o risco antes de qualquer ação.
Use a alternativa quando disponível. Se um QR code for a única opção de pagamento em um parquímetro ou totem, considere usar o leitor de cartão físico, pagar por um app oficial dedicado baixado de uma loja de aplicativos verificada, ou encontrar outro método. Conveniência jamais deve superar segurança quando há pagamento ou dados pessoais envolvidos.

O Que Fazer Se Você Foi Enganado
Se você escaneou um código, abriu o link e inseriu informações, aja rápido. Cada minuto de atraso dá ao atacante mais tempo para usar seus dados.
Se você digitou dados do cartão de pagamento: Ligue imediatamente para a central de fraudes do seu banco (use o número no verso do cartão, não qualquer número do site suspeito). Solicite o bloqueio ou substituição do cartão. Peça ao banco que marque qualquer cobrança a partir do momento em que você inseriu os dados.
Se você digitou credenciais de login: Altere sua senha imediatamente a partir de um dispositivo separado e confiável. Ative a autenticação em dois fatores se ainda não estiver ativa. Verifique se há dispositivos ou sessões desconhecidas logados na conta e os remova. Se você usa a mesma senha em outros lugares, mude-as também.
Consulte seu CPF no Serasa, SPC e Boa Vista para verificar se há movimentações suspeitas. Se você acredita que sua identidade foi comprometida, considere solicitar um alerta de fraude junto a esses birôs de crédito, o que dificulta a abertura de novas contas em seu nome. Nosso guia completo sobre prevenção de roubo de identidade cobre todo o processo de recuperação em detalhes.
Proteja-se de golpes com QR code e outras ameaças mobile com detecção de fraudes baseada em IA.
Como Se Proteger Daqui em Diante
O hábito mais importante é pausar antes de tocar. Todo o design do quishing se baseia no fato de que escanear QR codes parece automático e instantâneo. Quebrar essa resposta automática, mesmo que por dois segundos para ler a URL, interrompe o ataque. Adote a regra: primeiro verifique a URL, depois abra.
Use um app dedicado de leitura de QR code que realiza verificações de segurança em tempo real na URL decodificada antes de apresentá-la. Esses apps, disponíveis gratuitamente de grandes fornecedores de segurança, funcionam como um verificador de URL embutido no seu fluxo de escaneamento. São o equivalente mobile de passar o cursor sobre um link antes de clicar.
Mantenha o sistema operacional e o navegador do celular atualizados. Patches de segurança frequentemente fecham vulnerabilidades que ataques de drive-by download exploram ao visitar um site malicioso. Um celular desatualizado é significativamente mais vulnerável ao segundo estágio de um ataque de quishing, mesmo que suas credenciais permaneçam seguras.
Ative a autenticação em dois fatores usando um app autenticador, não SMS. Como observamos em nosso guia sobre smishing e golpes por SMS, o 2FA baseado em SMS pode ser interceptado. Um app autenticador gera códigos localmente no seu dispositivo, tornando ataques de relay em tempo real significativamente mais difíceis.
Denuncie códigos suspeitos onde quer que os encontre. Se você notar um adesivo suspeito em um QR code público, fotografe o local e reporte à empresa ou autoridades locais. Remover um adesivo malicioso em horas pode proteger dezenas de outras vítimas em potencial.
Key Takeaways
- Sempre leia a URL de destino completa no preview da câmera antes de tocar em qualquer link de QR code, especialmente em parquímetros, restaurantes e pontos de transporte público.
- Adesivos falsos de QR code podem ser colocados sobre códigos legítimos e são quase impossíveis de detectar sem inspeção física das bordas sobrepostas.
- QR codes em e-mails bypassam a maioria dos filtros corporativos de phishing, trate-os com o mesmo ceticismo que aplicaria a qualquer link em e-mail.
- Se você inseriu dados de pagamento ou login em um site suspeito, entre em contato com seu banco imediatamente e altere as senhas afetadas de um dispositivo separado.
Os QR codes não vão desaparecer, e os golpistas que os exploram também não. À medida que pagamentos sem contato, cardápios digitais e serviços mobile-first se tornam cada vez mais presentes no dia a dia, o quishing ficará mais sofisticado e disseminado. O antídoto é a consciência: saber que qualquer QR code físico pode ter sido substituído, que qualquer código em e-mail pode levar a qualquer lugar, e que os dois segundos necessários para ler uma URL antes de tocar podem ser os dois segundos que vão te salvar de uma lição muito cara.
Os planos de proteção do Truvizy incluem ferramentas para analisar URLs e links suspeitos, cole uma URL decodificada de qualquer QR code no Truvizy antes de abri-la e obtenha uma avaliação instantânea de sua legitimidade baseada em IA. Em um cenário de ameaças onde golpistas escondem links maliciosos dentro de imagens, ter uma ferramenta que verifica o destino real não é mais opcional, é essencial.
Smishing: Por Que Aquela Mensagem do Seu Banco É Provavelmente um Golpe — Phishing por SMS que usa o mesmo manual psicológico do quishing.
Detecção de E-mails de Phishing — Como identificar ataques por e-mail, incluindo os que usam QR codes para bypassar filtros.
Ataques de Engenharia Social — As técnicas de manipulação psicológica por trás do quishing e de todos os golpes modernos.
FAQ
O que é quishing?
Quishing é phishing por código QR, um golpe em que atacantes substituem ou criam QR codes falsos que redirecionam as vítimas para sites maliciosos projetados para roubar credenciais de login, informações de pagamento ou instalar malware no dispositivo.
Como saber se um QR code é falso antes de escanear?
Inspecione o código fisicamente: procure adesivos colados sobre um código original, danos ao material ao redor ou códigos que pareçam ligeiramente diferentes dos próximos. Após escanear, sempre verifique a URL completa de destino no preview da câmera antes de tocar em 'abrir'. Se a URL não corresponder exatamente ao domínio esperado da empresa, não continue.
Escanear um QR code pode instalar malware no meu celular?
Simplesmente escanear um QR code com a câmera não instala malware, mas abrir o link resultante pode. Sites maliciosos podem tentar downloads não autorizados, phishing de credenciais ou solicitar que você instale um aplicativo falso. Mantenha o sistema operacional do celular atualizado, evite permitir instalações de fontes desconhecidas e use um leitor de QR com verificação de segurança de URL integrada.
Quais locais têm maior risco de QR codes falsos?
Locais de alto risco incluem parquímetros, mesas e cardápios de restaurantes, pontos de transporte público, etiquetas de devolução de encomendas, saguões de hotéis e folhetos afixados em locais públicos. Qualquer espaço físico sem monitoramento onde alguém poderia substituir um código durante a madrugada sem ser detectado é um alvo potencial.
O que devo fazer se já escanei e digitei informações em um site suspeito?
Aja imediatamente: altere qualquer senha que você digitou, entre em contato com seu banco se forneceu dados de pagamento, ative a autenticação em dois fatores nas contas afetadas e monitore seu CPF no Serasa e SPC. Registre um Boletim de Ocorrência e, se o código estava em propriedade de uma empresa, avise-a para que possa substituí-lo.