← Voltar para o blog
,

Quishing: o golpe do QR Code falso que está enganando brasileiros em 2026

O que é o quishing

O quishing é um tipo de ataque de phishing que usa QR Codes como isca. O nome vem da combinação de QR code e phishing. Em vez de enviar um link malicioso por e-mail ou mensagem, o criminoso cria um QR Code falso que redireciona a vítima para um site fraudulento. O mecanismo é o mesmo do phishing tradicional, mas a embalagem é diferente e o nível de desconfiança das pessoas costuma ser muito menor.

No Brasil, o golpe ganhou tração junto com a expansão do Pix e a proliferação de QR Codes em cardápios, totens de autoatendimento, boletos e pontos comerciais. Segundo um relatório da Kaspersky divulgado no início de 2026, o Brasil está entre os cinco países com maior crescimento de ataques de quishing no mundo, com um aumento de 47% em relação ao ano anterior.

Como o golpe funciona na prática

O quishing pode assumir diversas formas. As variantes mais comuns registradas no Brasil em 2026 são:

  • QR Code colado por cima do original: criminosos imprimem adesivos com QR Codes falsos e colam sobre os originais em restaurantes, estacionamentos, máquinas de autoatendimento e até caixas de banco. A vítima escaneia achando que está pagando normalmente e é redirecionada para um site falso que captura seus dados.
  • Boletos com QR Code adulterado: faturas impressas em casa ou recebidas digitalmente podem ter o QR Code substituído por um fraudulento. Ao escanear, o valor e o destinatário do pagamento são alterados.
  • QR Codes enviados por mensagem: o golpe chega via WhatsApp ou SMS com promessa de desconto, recadastramento ou prêmio. O código leva a um site que solicita dados pessoais e bancários.
  • QR Codes em e-mails corporativos: criminosos enviam e-mails se passando por empresas conhecidas, com QR Codes que instalam malware ao serem acessados pelo celular, que normalmente tem menos proteção antivírus do que um computador.

Por que o QR Code é uma isca eficiente

O QR Code tem duas características que favorecem os golpistas. Primeiro, ele é opaco: diferente de um link em texto, onde dá para ver o endereço antes de clicar, o QR Code não revela o destino sem ser escaneado. Segundo, ele gera uma sensação de legitimidade. Quem imprimiu um QR Code, afixou em um produto ou incluiu em um documento parece ter um mínimo de comprometimento com o processo.

Essa percepção é explorada diretamente pelos criminosos. Um QR Code colado sobre o original em um restaurante parece fazer parte da estrutura do estabelecimento. Um código impresso em um boleto parece parte do documento oficial. A vítima escaneia sem questionar porque não há motivo aparente para desconfiar.

Grupos mais vulneráveis

Qualquer pessoa que usa o celular para pagar contas, acessar cardápios ou interagir com serviços digitais está exposta. Mas alguns grupos apresentam risco elevado:

  • Idosos e usuários com menos familiaridade digital, que não reconhecem os sinais de alerta visuais em sites falsos
  • Pequenos comerciantes e MEIs, que usam QR Codes para receber pagamentos e podem ter seus códigos substituídos sem perceber
  • Trabalhadores que processam documentos fiscais em volume, onde a atenção ao detalhe diminui com a repetição
  • Usuários frequentes de estacionamentos e totens de autoatendimento, onde a substituição de QR Codes físicos é mais fácil de executar

Como identificar e evitar o golpe

A proteção contra o quishing começa antes de escanear o código. Algumas práticas reduzem o risco de forma significativa:

  • Verifique o destino antes de interagir: a maioria dos aplicativos de câmera e leitores de QR Code mostra a URL antes de abrir. Leia o endereço. Se não reconhecer o domínio ou se ele parecer estranho, não acesse.
  • Desconfie de QR Codes em locais físicos: verifique se há adesivo colado por cima. Um QR Code legítimo fixo em um estabelecimento raramente terá camadas sobrepostas.
  • Nunca insira dados bancários em site acessado via QR Code recebido por mensagem: bancos, operadoras e empresas sérias não solicitam dados desta forma.
  • Confirme o valor e o destinatário no aplicativo bancário antes de confirmar qualquer pagamento via Pix ou boleto escaneado.
  • Use um leitor de QR Code com verificação de segurança integrada, que sinaliza URLs suspeitas antes de abrir.

A conexão com engenharia social

O quishing raramente age sozinho. Na maioria dos casos documentados no Brasil, o QR Code falso é apenas uma etapa de um ataque mais amplo que combina mensagem de texto, ligação falsa e site fraudulento. O criminoso cria urgência, a vítima escaneia o código sem pensar e é capturada num funil de engenharia social projetado para extrair dinheiro ou dados.

Como detalhamos no post sobre o golpe do falso atendente, a combinação de urgência emocional com um canal que parece legítimo é a fórmula central de quase todos os ataques de engenharia social modernos. O QR Code é mais um vetor para aplicar essa mesma lógica.

Baixe o PhizChat. É gratuito.

Disponivel para Android, iOS, Windows e macOS.

Android iOS Windows macOS

100% gratuito . Sem anuncios . Seus dados ficam seus

Descubra mais sobre PhizChat

Assine agora mesmo para continuar lendo e ter acesso ao arquivo completo.

Continue reading