Como funcionam os ataques por código QR (e como se manter seguro)
Os códigos QR tornaram-se onipresentes – cardápios de restaurantes, parquímetros, embalagens de produtos, ingressos para eventos. A conveniência deles nos fez confiar neles implicitamente. Mas essa confiança é exatamente o que os cibercriminosos exploram numa onda crescente de ataques chamada desistindo(phishing QR).
O que é Quishing?
Quishing combina “QR” e “phishing”. Em vez de enviar um link de e-mail suspeito, os invasores colocam códigos QR maliciosos no mundo físico ou em documentos digitais. Quando verificados, esses códigos redirecionam você para sites falsos convincentes, projetados para roubar suas credenciais, informações financeiras ou instalar malware.
O FBI relatou um Aumento de 300% em casos de fraude de código QR entre 2023 e 2025, com perdas superiores a US$ 150 milhões somente nos EUA.
5 métodos de ataque de código QR do mundo real
1. Adesivos de parquímetro
Os criminosos colocam adesivos falsos de códigos QR sobre códigos de pagamento legítimos em parquímetros. As vítimas escaneiam o código pensando que estão pagando pelo estacionamento, mas na verdade estão inserindo os dados do cartão de crédito em um site de phishing. Este ataque foi documentado em mais de 40 cidades dos EUA.
2. Sobreposições de menu de restaurante
Durante a pandemia, os menus QR tornaram-se padrão. Os invasores exploram isso colocando adesivos transparentes com códigos QR maliciosos nas barracas das mesas dos restaurantes. O código falso leva a um site que imita um menu, mas solicita informações de pagamento ou instalação de aplicativo.
3. Avisos falsos de entrega de pacotes
Você recebe um cartão em sua caixa de correio: "Tentamos entregar seu pacote. Digitalize para remarcar." O código QR leva a uma página de phishing que se faz passar por um serviço de entrega, solicitando suas credenciais de login e dados pessoais.
4. Códigos QR de e-mail comercial
Os invasores incorporam códigos QR em e-mails porque os códigos QR ignoram a maioria dos filtros de segurança de e-mail. O e-mail pode alegar ser do suporte de TI solicitando que você “digitalize para verificar sua conta” – levando a uma página de coleta de credenciais.
5. Códigos QR de Wi-Fi público
Códigos QR falsos de “Wi-Fi grátis” em aeroportos, cafés ou hotéis podem redirecioná-lo para um portal cativo que instala um perfil de configuração em seu telefone, permitindo ataques man-in-the-middle em todo o seu tráfego.
🧪 Questionário de segurança QR
1. Você encontra um código QR em um parquímetro. O que você deve fazer primeiro?
2. Um e-mail com código QR do "Suporte de TI" solicita que você verifique sua conta. Qual é a ação mais segura?
3. Depois de escanear um código QR, seu telefone mostra uma visualização do URL. Qual URL é suspeito?
Como se proteger
- Visualize antes de tocar: Sempre verifique o URL que seu telefone exibe após a digitalização. Procure domínios com erros ortográficos ou caracteres suspeitos.
- Verifique se há adulteração: Nos códigos físicos, procure adesivos colocados sobre o original. Os códigos legítimos geralmente são impressos diretamente na superfície.
- Use a câmera integrada: O aplicativo de câmera nativo do seu telefone é mais seguro do que aplicativos de leitura QR de terceiros, que podem ter menos proteções de segurança.
- Nunca insira credenciais: Se um código QR levar a uma página de login, feche-a e navegue até o site manualmente através do seu navegador.
- Evite códigos QR Wi-Fi: Em vez de escanear códigos QR para Wi-Fi, peça diretamente à equipe o nome e a senha da rede.
Perguntas frequentes
O que é quishing?
Quishing é phishing por meio de códigos QR. Os invasores substituem códigos QR legítimos por códigos maliciosos que redirecionam as vítimas para páginas de login falsas ou acionam downloads de malware.
A leitura de um código QR pode instalar malware?
Na maioria dos telefones modernos, a simples leitura de um código QR mostra primeiro uma visualização do URL. No entanto, se você tocar no link, ele pode levar a uma página que explora vulnerabilidades do navegador ou induz você a baixar um aplicativo malicioso.
Como posso saber se um código QR é seguro?
Use a câmera integrada do seu telefone (não aplicativos de terceiros), verifique a visualização do URL antes de abrir, procure sinais de adulteração de códigos QR físicos e nunca escaneie códigos de fontes não confiáveis.
Ferramentas relacionadas
- Gerador de senha— crie senhas fortes para contas expostas via QR phishing
- Anatomia de um ataque de phishing