O quishing está a ganhar espaço à medida que os códigos QR se tornaram parte da rotina. Estão nas mesas dos restaurantes, nos parquímetros, nos cartazes, nas embalagens e até em mensagens ou ficheiros enviados por email. O problema é que a mesma ferramenta que simplifica um pagamento ou abre um menu também pode servir de atalho para um site falso, para um pedido de login fraudulento ou para a instalação de software malicioso.
O risco não está no código QR em si, mas no destino para onde ele encaminha. E é precisamente aí que esta burla ganha força. Ao contrário de um link escrito num email, um QR code esconde o endereço até ao momento do scan. Isso reduz a desconfiança e torna o golpe mais discreto. Em Portugal, as forças de segurança já deixaram alertas públicos sobre códigos adulterados em espaços públicos e contextos do dia a dia.
Leia ainda: Fraudes com cartões diminuem, mas são cada vez mais ‘caras’
O que é o quishing?
O quishing é uma variante de phishing feita com recurso a códigos QR. Na prática, a vítima é levada a apontar a câmara do telemóvel para um código aparentemente legítimo, mas esse código conduz a uma página criada para roubar credenciais, dados bancários ou outras informações pessoais. Em alguns casos, também pode encaminhar para descarregamentos maliciosos ou abrir páginas que imitam serviços reais.
Leia ainda: Não se deixe apanhar: Conheça as fraudes mais recorrentes
Porque é que esta técnica de burla preocupa as autoridades?
Esta técnica está a preocupar autoridades e especialistas porque contorna alguns mecanismos de defesa habituais.
O NCSC (National Cyber Security Centre) britânico e a ENISA (European Network and Information Security Agency) têm sublinhado que os códigos QR conseguem esconder links maliciosos dentro de imagens e escapar mais facilmente à deteção inicial. Já a Microsoft e a ENISA têm descrito campanhas recentes em que os QR codes foram usados em emails e PDFs para encaminhar vítimas para páginas falsas de autenticação.
Leia ainda: Autenticação multifator: Por que deve utilizá-la já na internet
Como funciona a burla dos códigos QR no dia a dia
O esquema pode ser muito simples. Um burlão cola um autocolante com um QR falso por cima do verdadeiro num parquímetro, numa ementa digital ou num cartaz promocional. Quem faz o scan acredita que está a aceder a um serviço normal, mas acaba numa página que pede dados de cartão, credenciais bancárias ou um pagamento imediato. A PSP chamou a atenção precisamente para cenários deste tipo, incluindo restaurantes, parquímetros e falsas multas de estacionamento.
Também há versões totalmente digitais. O código pode surgir num email que imita um banco, uma plataforma de assinaturas, uma transportadora ou um pedido de validação de conta. Em vez de clicar num link, a vítima é levada a usar o telemóvel para digitalizar o QR. Segundo a FTC (Federal Trade Commission) e o NCSC, esta técnica explora a confiança do utilizador e o hábito de agir depressa quando vê um pedido que parece oficial.
Casos reais de quishing que já aconteceram (e podem repetir-se)
Os exemplos ajudam a perceber como este tipo de burla já está a ser usado em vários contextos. Em 2022, nos Estados Unidos, foram reportados casos no Texas e em Atlanta em que burlões colocaram autocolantes com códigos QR falsos em parquímetros e nos para-brisas de veículos. As vítimas eram levadas a pagar falsas multas em sites fraudulentos, onde inseriam dados bancários.
Também foram identificadas situações em restaurantes e esplanadas, onde códigos QR adulterados substituíam os originais. Em vez de aceder à ementa, os clientes eram redirecionados para páginas maliciosas preparadas para recolher dados pessoais.
Noutro tipo de esquema, mais recente, foram usados emails com documentos em PDF que incluíam códigos QR para “assinar” ficheiros ou validar contas. Este método foi utilizado em campanhas que imitavam plataformas conhecidas, levando as vítimas a páginas falsas de autenticação.
Há ainda registos de ataques mais sofisticados, como o caso associado ao ING Bank, nos Países Baixos, onde códigos QR foram explorados para contornar mecanismos de autenticação e aceder a contas bancárias.
Em Portugal, embora os casos ainda sejam residuais, já foram identificadas situações com códigos QR falsos em espaços públicos, como esplanadas e viaturas. As autoridades alertam para o potencial de crescimento deste tipo de burla, sobretudo pela facilidade com que pode ser replicada.
Os sinais de alerta que podem travar o quishing
Há sinais que devem levantar suspeitas antes mesmo de abrir o telemóvel. Por exemplo:
- Um código sobreposto a outro;
- Autocolante mal colado;
- QR fora de contexto ou um pedido urgente de pagamento são indícios relevantes;
- Mensagens inesperadas, erros ortográficos, promessas exageradas ou páginas que pedem logo dados sensíveis sem explicação clara;
- Endereços estranhos ou encurtados quando o link é revelado após o scan;
- Códigos QR enviados por email ou SMS sem contexto claro;
- Pedidos de login ou pagamento imediato após a leitura do código.
Outra regra importante é desconfiar sempre que o gesto é empurrado pela pressa. Uma suposta multa para pagar de imediato, um aviso de conta bloqueada ou um documento que tem de ser validado “já” são iscos clássicos das burlas de engenharia social. O QR code apenas muda a porta de entrada. O mecanismo continua a ser o mesmo, criar urgência para reduzir a atenção da vítima.
Para reduzir o risco, pode também recorrer a aplicações de leitura de QR que permitem visualizar o endereço antes de abrir a página e sinalizam ligações potencialmente perigosas. Algumas ferramentas incluem funcionalidades de verificação de segurança e ajudam a identificar links suspeitos antes de qualquer interação.
Phishing tradicional vs Quishing
Aspeto | Phishing tradicional | Quishing |
Porta de entrada | Link em email, SMS ou mensagem | Código QR em papel, imagem, email ou PDF |
O que a vítima faz | Clica | Faz scan |
Sinal visível antes da ação | Muitas vezes vê-se o link | O destino fica escondido até ao scan |
Contextos frequentes | Bancos, entregas, prémios, contas | Menus, parquímetros, multas, documentos, autenticação |
Risco final | Roubo de dados, malware, fraude | Roubo de dados, malware, fraude |
A diferença prática é que no phishing clássico, o utilizador tem mais hipóteses de estranhar um link suspeito; no quishing, o código parece neutro, moderno e inofensivo. Essa aparência banal explica porque este tipo de golpe se adapta tão bem a ambientes físicos e digitais ao mesmo tempo.
Como se proteger do quishing sem complicar a rotina
A proteção começa antes de tocar no link. Apple, Google e a própria PSP convergem num ponto essencial: o utilizador deve conseguir ver o endereço antes de o abrir e nunca avançar por impulso. Nos equipamentos atuais, o QR tende a gerar uma faixa, bolha ou notificação com o destino, o que permite parar a tempo.
Se o domínio parecer estranho, tiver letras trocadas ou não corresponder à entidade esperada, o mais seguro é não continuar.
A este cuidado junta-se uma configuração simples que pode evitar muitos problemas. Sempre que possível, deve impedir que o telemóvel abra automaticamente os links associados a códigos QR. Esta opção permite analisar o endereço antes de aceder ao site e confirmar se se trata de uma página oficial e segura.
Nos dispositivos iPhone, deve aceder às definições da câmara e garantir que a leitura de códigos QR está ativa, mas sem automatizar a abertura de links. Desta forma, o sistema identifica o código, mas exige uma ação manual antes de entrar no site.
Nos equipamentos Android, os modelos mais recentes já apresentam o endereço associado ao código antes de abrir. Ainda assim, convém confirmar nas definições da câmara ou do Google Lens que não está ativa a opção de abertura automática de URLs.
Como ajustar rapidamente no telemóvel:
- iPhone (iOS): Definições > Câmara > ativar “Ler códigos QR” (o link não abre automaticamente).
- Android: Definições da Câmara ou Google Lens > desativar abertura automática de URLs.
- O procedimento pode variar consoante o equipamento e a versão do sistema operativo
Se encontrar um código QR suspeito, alterado ou sobreposto, não deve avançar. Nestes casos, o mais prudente é evitar o scan e reportar a situação às autoridades.
O que fazer se já leu um código suspeito
Se fez o scan mas não introduziu dados, deve fechar a página, sair do navegador e evitar qualquer interação adicional.
Já se descarregou ficheiros ou instalou algo, o melhor é desligar a ligação à internet, correr uma verificação de segurança e atualizar palavras-passe em contas críticas, sobretudo email e banca digital. Quando há dados bancários envolvidos, o contacto com o banco deve ser imediato.
A denúncia também conta. Em Portugal, pode apresentar queixa à Polícia Judiciária, incluindo por via eletrónica, e o combate ao cibercrime está concentrado na unidade especializada da PJ.
Caso o QR esteja num espaço físico, convém ainda alertar o estabelecimento ou a entidade responsável para evitar novas vítimas. Quanto mais cedo houver reação, menores são os danos e maior é a probabilidade de travar a fraude a tempo.
Leia ainda: Burlas financeiras: Não forneça códigos enviados para o telemóvel
Perguntas frequentes
Sim, em alguns casos. Se o QR code levar à instalação de malware, esse software pode recolher dados sensíveis ou monitorizar acessos, incluindo apps bancárias. Embora o risco aumente quando há introdução de credenciais, um simples scan pode ser suficiente para comprometer o dispositivo se houver vulnerabilidades.
Não. Embora muitos sejam legítimos, há risco quando estão em locais públicos ou podem ter sido adulterados. Para pagamentos, o mais seguro é usar apps oficiais ou inserir manualmente os dados do serviço. Evitar QR desconhecidos reduz o risco de fraude.
Nem sempre é fácil, mas há sinais de alerta. Autocolantes sobrepostos, códigos mal alinhados ou com aspeto diferente do original podem indicar manipulação. Em locais públicos, deve desconfiar sempre que o QR parecer recente, danificado ou fora de contexto.
Não é recomendável guardar ou reutilizar QR recebidos sem verificar a origem. Estes códigos podem ser usados em campanhas de fraude e redirecionar para sites maliciosos. Sempre que possível, deve confirmar a autenticidade junto da entidade que supostamente enviou o código.
Não necessariamente, mas deve ter atenção redobrada. Em locais públicos, como parquímetros, restaurantes ou cartazes, os códigos QR podem ser facilmente adulterados ou substituídos. Antes de fazer o scan, confirme se o código parece original e evite avançar se houver sinais de manipulação. Sempre que possível, prefira aceder ao site ou serviço através de canais oficiais.
Existem aplicações que permitem analisar códigos QR antes de abrir links e identificar possíveis ameaças. Ferramentas como Kaspersky QR Scanner, QR Code Inspector ou soluções com proteção integrada, como antivírus e VPN com bloqueio de sites maliciosos, ajudam a detetar páginas suspeitas. Ainda assim, nenhuma aplicação substitui a verificação manual do endereço e a atenção do utilizador.
