Golpe de QR Code (Quishing): O que É e Como se Proteger?

À medida que os QR Codes facilitam nossa vida, eles também atraíram a atenção dos golpistas. O quishing (phishing por QR Code), que se espalhou rapidamente nos últimos anos, busca roubar dados pessoais e financeiros por meio de códigos falsos. A boa notícia: com alguns hábitos simples é possível se proteger dessas armadilhas. Neste guia, explicamos como o quishing funciona e as formas de proteção tanto para pessoas quanto para empresas.

O que é quishing?

Quishing vem da junção das palavras inglesas "QR" e "phishing". No phishing clássico, o golpista envia um link falso por e-mail ou SMS; no quishing, esse mesmo link falso é escondido dentro de um QR Code. Quando o usuário acha que o código é inofensivo e o lê, é redirecionado para um site falso muito parecido com o verdadeiro. O nome de usuário, a senha ou os dados do cartão inseridos ali vão direto para o golpista.

O lado perigoso do QR Code é que seu conteúdo não é visível a olho nu. Você pode olhar um link e dizer "isso é suspeito"; mas não dá para saber para onde um QR Code leva sem fazer a leitura. Os golpistas se aproveitam justamente dessa invisibilidade.

Como agem os golpistas?

Um ataque típico de quishing acontece assim:

1. O código falso é preparado: o golpista monta uma página falsa de pagamento/login parecida com a verdadeira e embute o endereço dela em um QR Code.
2. O código é colocado: esse código é colado por cima de um código verdadeiro com uma etiqueta (máquina de pagamento de estacionamento, mesa de restaurante, cartaz) ou enviado por e-mail/SMS falso.
3. A vítima faz a leitura: o usuário lê o código e vai para o site falso.
4. Os dados são roubados: a página pede dados de login ou número do cartão; os dados inseridos chegam ao golpista.

Cenários mais comuns

• Pagamento falso de estacionamento/multa: um código colado na máquina de estacionamento ou no vidro do carro leva a uma página de pagamento falsa.
• Imitação de cardápio de restaurante: uma etiqueta falsa é colada sobre o QR Code de cardápio verdadeiro da mesa.
• Aviso falso de encomenda/entrega: SMS ou papel dizendo "Sua encomenda está aguardando, faça a leitura".
• Imitação de banco/instituição: códigos falsos com o tema "Verifique sua conta".
• Armadilha de Wi-Fi grátis: redirecionamento para uma rede maliciosa com um QR Code de Wi-Fi falso.

Proteção em 7 passos

1. Confira o endereço aberto. A maioria dos celulares pré-visualiza a URL de destino após a leitura. Se vir um domínio inesperado ou estranho, não abra.
2. Atenção a etiquetas coladas por cima. Se houver um adesivo removível sobre o código, desconfie; pode haver um código verdadeiro embaixo.
3. Não confie em mensagens que metem pressa. Pressão como "Pague agora, sua conta será encerrada" é uma tática clássica de golpe.
4. Não insira dados em páginas que pedem informações sensíveis. Se uma página aberta pelo QR pedir senha ou dados do cartão, pare e verifique.
5. Use o canal oficial. Faça operações de banco/instituição pelo aplicativo oficial ou direto pelo endereço, em vez de pelo QR.
6. Evite apps extras de "leitor de QR". A câmera nativa do celular é suficiente; aplicativos desnecessários adicionam risco. (Veja como ler um QR Code.)
7. Mantenha seu dispositivo atualizado. Um navegador e um sistema operacional atualizados alertam contra sites falsos.

O que as empresas devem fazer?

As empresas que oferecem QR Code aos clientes devem tomar precauções para proteger tanto os clientes quanto a própria reputação:

• Verifique os códigos regularmente. Garanta que não foram coladas etiquetas falsas sobre os códigos das mesas, cartazes e pontos de pagamento.
• Use impressão resistente a adulteração. Prefira materiais que não possam ser facilmente removidos e trocados.
• Use códigos com marca e familiares. Os QR Codes com logo facilitam para o cliente distinguir o verdadeiro do falso.
• Monitore com QR dinâmico. Os QR Codes dinâmicos (QRbug), com destino gerenciável e que mostram o comportamento das leituras, permitem uma resposta rápida quando há um problema.

Perguntas frequentes