Dica Bit
Notícias · 3 min de leitura

Quishing: o golpe do QR Code que está crescendo (e como não cair)

Golpistas estão escondendo links maliciosos em QR Codes — é o quishing. Saiba como o golpe funciona, onde ele aparece e como se proteger no celular e na empresa.

Espaço reservado para anúncio

Você escaneia um QR Code para pagar um estacionamento, acessar um cardápio ou confirmar uma entrega — e cai numa armadilha. Esse é o quishing (junção de QR Code + phishing), um golpe que vem crescendo justamente porque o QR Code virou parte natural do nosso dia.

Por que o QR Code é o disfarce perfeito

Um link de phishing tradicional você pode ler antes de clicar: dá para desconfiar de um endereço estranho. Já um QR Code é ilegível para humanos — você não tem ideia de para onde ele aponta até escaneá-lo. Os golpistas exploram exatamente essa cegueira.

Pior: o QR Code passa fácil por filtros de segurança. Um e-mail com um link malicioso pode ser barrado pelo antifishing; o mesmo link dentro de uma imagem de QR Code muitas vezes passa despercebido.

Onde o quishing aparece

  • Adesivos falsos por cima dos verdadeiros: em parquímetros, totens de pagamento, placas de estacionamento. O golpista cola um QR falso sobre o oficial.
  • E-mails corporativos: “escaneie para validar sua conta do Microsoft 365” — leva a uma página de login falsa que rouba sua senha.
  • Boletos e cobranças falsas: QR de Pix que redireciona o pagamento para a conta do golpista.
  • Cartazes e panfletos: promoções “boas demais” com QR para um site clonado.

Como o golpe se completa

  1. Você escaneia o código.
  2. É levado a um site que imita um serviço real (banco, e-mail corporativo, loja).
  3. Você digita login e senha — ou faz um pagamento.
  4. Os dados vão direto para o golpista.

Em ambientes corporativos, o alvo preferido são as credenciais do Microsoft 365 / Google Workspace, porque com elas o atacante entra no e-mail da vítima e ataca a empresa toda de dentro.

Como se proteger (pessoal)

  • Desconfie de QR Codes em locais públicos. Cheque se há um adesivo colado por cima de outro.
  • Confira a URL antes de prosseguir. Bons leitores de QR mostram o endereço antes de abrir — leia com atenção. Domínio estranho? Não prossiga.
  • Nunca digite senha numa página aberta a partir de um QR Code sem ter certeza absoluta da origem.
  • No Pix, confira o destinatário que aparece antes de confirmar. O nome bate com quem deveria receber?
  • Não escaneie QR Codes recebidos por e-mail ou mensagem de remetente desconhecido.

Como proteger a empresa

  • Treine a equipe: quishing é engenharia social. A defesa nº 1 é gente que sabe desconfiar.
  • Ative MFA (autenticação em dois fatores) em todas as contas. Mesmo que a senha vaze, o atacante esbarra no segundo fator.
  • Use MFA resistente a phishing (chaves físicas FIDO2 ou passkeys) para contas críticas — elas não caem nem em páginas falsas.
  • Configure o filtro de e-mail para inspecionar imagens e QR Codes, não só links em texto.

A regra de ouro continua valendo: um QR Code é um link que você não consegue ler. Trate-o com a mesma desconfiança que você (espero) já tem com links suspeitos.

O quishing funciona porque confiamos no QR Code sem pensar. Recuperar esse senso de desconfiança saudável — sem virar paranoico — é a melhor defesa.

Espaço reservado para anúncio
#seguranca#phishing#qr code#golpe#quishing