Golpe do QR code: como identificar e evitar o Quishing?

Vivemos em uma sociedade escaneável. Seja no cardápio do restaurante ao pagamento do estacionamento, passando por anúncios em paradas de ônibus e autenticação de dois fatores, o QR code (Quick Response Code) tornou-se o tecido conjuntivo entre o mundo físico e a nossa identidade digital.

No entanto, essa praticidade gerou uma vulnerabilidade crítica: a confiança visual implícita.

O golpe do QR code, tecnicamente conhecido como izishing), é a exploração dessa confiança. Diferente de um link malicioso enviado por e-mail, que pode ser analisado por filtros de SPAM, o QR code é uma imagem.

Para os sistemas de segurança tradicionais, ele é opaco. Para o usuário, ele é apenas uma conveniência. Mas, nos bastidores, um QR code falso pode ser o gatilho para a execução de um pagamento QR code golpe, sequestro de sessão ou instalação de malware.

Neste guia, vamos desconstruir a mecânica técnica do código, as variações de golpes que estão assolando o Brasil em 2026 e o protocolo de defesa para evitar que o seu próximo escaneamento seja o início de um desastre financeiro.

Golpe do QR code: o que há dentro do "quadrado"?

Para entender o golpe do QR code, precisamos entender o que o seu celular vê quando você aponta a câmera para um.

A estrutura do ISO/IEC 18004

O QR code é um código de barras bidimensional que utiliza um padrão de módulos pretos e brancos. Sua força reside na Correção de Erros de Reed-Solomon. Essa tecnologia permite que o código seja lido mesmo se estiver 30% danificado.

O Risco: os criminosos usam essa mesma resiliência para sobrepor adesivos de QR code falso em cima de códigos legítimos. O leitor do celular consegue ignorar a "sujeira" do código antigo e processar apenas a nova instrução maliciosa.

O payload oculto

Um QR code não é um link; ele é um container de dados. Ele pode conter:

URLs: o uso mais comum e o maior vetor de phishing.
Comandos de Wi-Fi: configurar seu celular para conectar automaticamente a uma rede "Evil Twin".
Instruções de Pagamento (Pix): alterar o beneficiário de uma transação instantânea.
V-Cards: Inserir um contato malicioso na sua agenda para ataques futuros de vishing.

As faces do quishing: como funciona esse golpe?

O golpe do QR code se especializou em três frentes de ataque que exploram o cotidiano do brasileiro.

1. O golpe do balcão e do cardápio (ataque físico)

Este é o cenário de "Proximidade Confiável". O criminoso cola um adesivo de um QR code falso sobre o código original de um restaurante ou posto de gasolina.

O Impacto: O cliente acredita estar pagando a conta do jantar, mas o pagamento QR code golpe direciona o dinheiro para uma conta "laranja".

2. O golpe do cartaz e do estacionamento

Cartazes de "Promoção Imperdível" em locais públicos ou QR codes para pagamento de parquímetros de rua. O usuário, na pressa do dia a dia, escaneia o código para ganhar um desconto ou pagar uma taxa, aterrissando em uma página falsa que captura dados de cartão de crédito.

3. O quishing digital: burlas em e-mails e anúncios

Os Secure Email Gateways (SEGs) tornaram-se especialistas em detectar links maliciosos. Para burlar isso, os atacantes agora enviam um e-mail de "Fatura Atrasada" contendo apenas uma imagem: um QR code.

A técnica: como não há texto com link, o filtro de segurança permite a passagem. O usuário é instruído a "escanear com o celular para pagar", tirando a transação do ambiente seguro do computador e levando-a para o ambiente móvel, muitas vezes menos protegido.

O pix e o QR code no Brasil

O Brasil é o laboratório mundial do Pix, e o QR code é o seu braço direito. Isso criou uma oportunidade única para o cibercrime local.

O QR code estático vs. dinâmico

Muitos estabelecimentos brasileiros usam o QR Code Estático no balcão por ser mais barato e simples. O problema? Ele é facilmente substituível por um QR code falso. O QR Code Dinâmico, que gera um novo código para cada venda, é mais seguro, mas ainda pouco adotado em pequenas empresas.

O MED (Mecanismo Especial de Devolução) no quishing

Se você foi vítima de um pagamento QR code golpe, o tempo de reação é medido em segundos. O MED do Banco Central é a ferramenta principal. No entanto, os criminosos usam "contas de passagem" para pulverizar o dinheiro em criptoativos ou outras contas em milissegundos após o escaneamento, tornando a recuperação via MED um desafio técnico constante.

Do escaneamento à exfiltração: qual o caminho do quishing?

Vamos traçar o caminho técnico de um golpe do QR code bem-sucedido:

O Gatilho: O usuário escaneia um QR code para ver o menu ou pagar uma conta.
O Redirecionamento Suspeito: O QR code aponta para um encurtador de link perigoso (ex: bit.ly/desconto-fake).
A Coleta de Metadados: Antes mesmo da página carregar, o atacante já capturou o modelo do seu celular, sistema operacional e IP.
A Página Falsa: O usuário chega a uma página idêntica à do banco ou do estabelecimento.
O Payoff: O usuário insere a senha ou confirma o Pix. O atacante recebe os dados ou o valor instantaneamente.

Como identificar QR code falso?

Saber como identificar QR code adulterado é a primeira linha de defesa.

Ponto de Observação	O que procurar	Nível de Risco
Integridade Física	Verifique se há um adesivo colado sobre o código original ou se o cartaz parece ter sido alterado.	Crítico
Preview da URL	A maioria dos celulares modernos mostra um "preview" da URL antes de abrir. Se for um domínio estranho ou encurtado, não abra.	Alto
Diferença de Beneficiário	Ao escanear para pagar, o nome que aparece no app do banco deve ser o do estabelecimento. Nomes de pessoas físicas em contas comerciais são alerta de golpe.	Máximo
Contexto do Anúncio	Desconfie de QR codes em anúncios de redes sociais prometendo prêmios exagerados ou "dinheiro fácil".	Alto

O papel das empresas na prevenção

O golpe do QR code não atinge apenas indivíduos; ele é uma ameaça ao faturamento das empresas e dos seus clientes. O que você pode fazer:

Auditoria de PDV (Ponto de Venda): Empresas devem verificar fisicamente seus QR codes de pagamento diariamente.
Educação de colaboradores: funcionários do financeiro não devem escanear códigos em e-mails para pagar faturas de fornecedores sem validação prévia.
Implementação de MFA FIDO2: protege contra o sequestro de sessão, mesmo se o usuário escanear um QR code de login falso.

Quer elevar a mitigação e combater golpes como do falso QR code e muitos outros?

A Starti possui o Edge DNS, que atua na camada de DNS, impedindo a conexão com domínios maliciosos antes mesmo que o acesso aconteça.

Isso reduz significativamente a superfície de ataque e o risco de incidentes, protegendo seus clientes de ameaças avançadas como sites de spam e desinformação gerados por IA, e-mails descartáveis usados em fraudes, domínios estacionados reutilizados em golpes e muito mais.

Clique no botão e conheça mais do Edge DNS e do nosso ecossistema:

QR code falso: a imagem que engana

O golpe do QR code é a prova de que a cibersegurança tornou-se é um jogo de percepção visual. O criminoso não precisa quebrar criptografia; ele só precisa que você aponte sua câmera para o lugar errado. A praticidade do QR code não deve substituir a nossa capacidade crítica de verificação.

Para empresas e parceiros da Starti, a proteção contra o Quishing exige uma abordagem híbrida: tecnologia de proteção de endpoint móvel e uma cultura inabalável de "escanear e conferir".

A segurança começa no olho humano e termina na inteligência de rede.

Perguntas importantes sobre golpes de QR code

Principais dúvidas sobre o golpe do QR code falso

Um QR code pode instalar um vírus no meu celular apenas por eu apontar a câmera?

Em 2026, é improvável que o simples ato de apontar a câmera instale um malware, graças às proteções de sandboxing dos sistemas operacionais móveis. No entanto, o link dentro do QR code pode levar você a uma página que explora vulnerabilidades do navegador (Zero-Day) ou induzir você a baixar um arquivo malicioso disfarçado de PDF, ou cupom de desconto.

Como saber se o QR code de um cartaz de rua é seguro?

A regra básica é: nunca confie em QR codes de rua para transações financeiras. Se precisar de um serviço oferecido no cartaz, procure o site oficial da empresa manualmente no seu navegador. Criminosos usam o "apelo visual" da rua para levar vítimas a sites de phishing sem elas perceberem a transição.

O que devo conferir antes de confirmar um pagamento via QR code do Pix?

Após escanear, o aplicativo do banco exibirá os dados do recebedor. Confira três coisas: 1. O nome da empresa (deve ser o nome real do local); 2. O CNPJ; 3. O valor. Se o recebedor for uma pessoa física (CPF) e você estiver em um estabelecimento comercial, cancele a operação imediatamente. É um pagamento qr code golpe clássico.

Por que os golpistas estão usando QR codes em vez de links em e-mails?

Porque os QR codes são imagens e muitos filtros de segurança corporativos ainda têm dificuldade em "ler" o que está em uma imagem para extrair a URL e verificar sua reputação. É uma técnica de evasão para garantir que a isca chegue à caixa de entrada do usuário.

Existe alguma ferramenta que ajuda a identificar um QR code falso?

Sim, existem aplicativos de "Scanner Seguro" de empresas de cibersegurança que analisam a URL de destino antes de permitir que o navegador abra o site. Além disso, soluções de segurança gerenciada para dispositivos móveis (MDM) podem bloquear o acesso a domínios maliciosos ao nível de rede.