Quishing: o que é e como se proteger do golpe do QR Code falso

Você já escaneou um QR Code para acessar o cardápio de um restaurante, pagar uma conta ou aproveitar uma oferta? É uma tecnologia cada vez mais presente no nosso cotidiano - simples, rápida e eficiente. Mas, junto com a praticidade, também surgem os riscos. Um golpe chamado quishingvem crescendo e usa QR Codes falsospara roubar dados e dinheiro de forma discreta e difícil de detectar.

Em 2025, o número de leituras de QR Codes atingiu 41,77 milhões, um salto de 433% nos últimos quatro anos. Tamanha adesão comprova que a tecnologia já é parte da rotina. E quando algo é tão usado, é muito importante entender como utilizar com segurança, concorda?

Hoje você vai entender o que é quishing, como saber se um QR Code é falso, como os criminosos aplicam o golpe do QR Code falsoe, principalmente, como se proteger. Acompanhe a leitura e mantenha seus dados e o seu dinheiro em segurança.

O que é quishing?

Quishingé um tipo de golpe digital que utiliza QR Codes falsos como isca para enganar as vítimas. O nome vem da combinação das palavras QR codee phishing- técnica usada para roubar informações por meio de links maliciosos. No quishing, o link está oculto dentro de um QR Code, dificultando a identificação do golpe à primeira vista.

A mecânica é simples: a vítima escaneia o código acreditando que está acessando um conteúdo legítimo e acaba sendo redirecionada para um site falso, que pode simular a página de um banco, uma loja ou qualquer outra empresa conhecida. O objetivo é coletar informações como senhas, dados bancários ou pessoais.

O grande perigo está justamente na discrição e na aparência inofensivado código. Ao contrário dos links tradicionais, que podem ser lidos e analisados, o QR Code só revela seu destino após o escaneamento.

Qual a relação entre phishing e quishing?

Para entender melhor como funciona o quishing, é importante conhecer bem o phishing, já que os dois golpes são parecidos e igualmente perigosos. O phishing é uma técnica usada por criminosos para enganar pessoas por meio de mensagens falsas, geralmente por e-mail, SMS ou aplicativos. Essas mensagens parecem confiáveis à primeira vista e muitas vezes se passam por bancos, empresas conhecidas ou órgãos públicos.

O conteúdo costuma conter um link malicioso que leva a um site falso, criado para imitar uma página oficial. A vítima acessa o link, insere suas informações e, sem perceber, entrega dados sensíveis como CPF, senhas ou números de cartão. Em outras situações, o clique no link pode iniciar o download de programas maliciosos.

Com o avanço das transações digitais, esse tipo de golpe cresceu. Em 2024, mais da metade da população brasileira foi vítima de fraudes, segundo o Serasa. Entre os principais tipos de ataque, o phishing representou 16% dos incidentes de segurança, causando prejuízos financeiros em 54,2% dos casos.

E o impacto não para aí: cada violação custou, em média, R$7,75 milhões, conforme a Sociedade Brasileira de Computação. O cenário se agrava com o volume de tentativas de ataques: foram 356 bilhões em um único ano, de acordo com a FortiGuard Labs.

O quishing é uma evolução do phishing, com um detalhe importante: em vez de links visíveis, os criminosos usam QR Codes para esconder o golpe, o que torna a fraude mais difícil de detectar, já que os filtros de segurança em e-mails não identificam códigos da mesma forma que analisam os links de texto.

E como o escaneamento normalmente é realizado por outro dispositivo, como o celular pessoal, o golpe escapa das proteções corporativas, dificultando a identificação da origem do ataque.

Como funciona o golpe do QR Code falso?

O golpe do QR Code falsopode acontecer de formas diferentes, mas há dois caminhos principais pelos quais ele costuma ser aplicado. Ambos aproveitam o uso comum do QR Codecomo ferramenta de acesso rápido a links, pagamentos e promoções.

O primeiro segue o modelo tradicional do phishing. A vítima recebe um e-mail, SMS ou mensagem em aplicativo com um QR Code disfarçadode promoção, confirmação de entrega, acesso a um documento ou qualquer outro serviço cotidiano. Ao escanear, é direcionada para um site falso, onde é induzida a inserir seus dados ou autorizar o download de malwaresque infectam seu aparelho.

O segundo tipo de ataque é ainda mais direto: no momento do pagamento por QR Code. É cada vez mais comum encontrar adesivos com códigos falsos colados por cima dos originais em mesas de restaurante, caixas de lojas, totens de autoatendimento e placas de cobrança. O cliente escaneia, faz o pagamento, mas o valor vai direto para a conta do criminoso.

Esses golpes são eficazes porque o QR Code não revela o link ou o destinatário antes da leitura, reduzindo a chance de perceber qualquer coisa estranha antes que a fraude já esteja em andamento. Além disso, muitos códigos falsos são inseridos em ambientes movimentados, aproveitando o descuido ou a pressa das pessoas.

O maior risco é que, ao confiar na praticidade do QR Code, muita gente deixa de verificar a procedência do código e o conteúdo acessado. Por isso, a atenção aos detalhes e uma postura preventiva são indispensáveis para evitar prejuízos.

Como se proteger do quishing?

Assim como em qualquer outro golpe digital, o quishing se aproveita dos momentos de distração e da confiança excessiva nas ferramentas do dia a dia. Portanto, a melhor forma de se proteger é com a adoção de práticas simples, mas eficazes, de atenção e verificação. Conheça as principais dicas para evitar o golpe do QR Code falso.

Verifique a origem do QR Code

Sempre que você for escanear um QR Code, confira de onde ele veio. Em locais físicos, observe se o código está fixado diretamente no material original ou se parece ser um adesivo colocado por cima. Adesivos tortos, desbotados ou mal colados podem ser sinais de adulteração.

Em mensagens digitais, como e-mails ou SMS, avalie o remetente e o contexto da mensagem. Normalmente, as grandes empresas não enviam QR Codes sem explicações claras. Quando houver qualquer dúvida, prefira acessar diretamente o site oficial da marca, em vez de escanear o código enviado.

Escaneou o QR Code? Pare e confira o endereço!

Na hora de escanear um QR code com a câmera do celular, nunca clique no link automaticamente. A maioria dos celulares exibe o endereço antes de abrir o site.

Verifique o link com atenção:

• Confira se o domínio é confiável;
• Veja se há erros de grafia;
• Certifique-se de que o site realmente corresponde ao serviço esperado.

Caso o endereço pareça suspeito ou encurtado (como bit.ly), evite prosseguir.

Não escaneie QR Codes desconhecidos

Recebeu um QR Code de uma fonte que não reconhece? A dica é simples: não escaneie. Mesmo que a oferta pareça interessante ou a mensagem pareça confiável, sempre vale o cuidado. Os golpistas se aproveitam justamente da curiosidade ou da pressapara aplicar o golpe.

Viu um QR Code colocado em um local improvisado ou de aparência suspeita? Se o código estiver em um local público, como um cartaz, adesivo ou embalagem, avalie se realmente faz sentido estar ali.

Desconfie de ofertas muito tentadoras

Promoções com descontos altos, brindes imediatos ou benefícios "exclusivos por tempo limitado" sempre chamam a atenção, mas também devem acender o alerta. Esses são alguns dos gatilhos usados por criminosospara convencer a vítima a escanear rapidamente um QR Code.

Se a mensagem não explicar de forma convincente a origem da oferta e ainda exigir o escaneamento do código para mais informações, o risco de golpe é alto. Antes de qualquer ação, faça uma pesquisa sobre a empresa, consulte fontes oficiais e avalie se a proposta é realista.

Desconfie de QR Codes que solicitam dados pessoais

Quando você escaneia um QR Code, o esperado é acessar informações, e não ser obrigado a preencher formulários com dados sensíveis. Se o site pedir nome completo, CPF, número do cartão ou senhas, a recomendação é clara: feche a página imediatamente.

Golpistas sabem como criar páginas visuais semelhantes a sites reais, mas há formas de identificar a fraude. Observe o endereço do site (URL). Domínios estranhos, com erros de digitação ou sem conexão com a marca original são sinais de alerta.

Não baixe apps por QR Codes

Outra armadilha comum é o uso do QR Code para baixar aplicativos fora das lojas oficiais. Mesmo que pareça prático, é um caminho perigoso. Arquivos de origem desconhecida podem conter vírus ou programas espiões, que comprometem o seu dispositivo.

Se você precisar instalar um app, procure diretamente na loja oficial do seu celular(Google Play Store ou Apple App Store). Os aplicativos legítimos sempre estarão disponíveis nesses ambientes, que possuem filtros de segurança mais rigorosos.

Situações onde o golpe do QR Code falso pode acontecer

O quishing pode acontecer em diversos contextos do dia a dia, especialmente quando há grande circulação de pessoas ou pouco controle sobre os meios de pagamento. Seja cauteloso com essas situações para identificar os riscos e evitar cair em golpes.

Grandes eventos e lotações

Eventos como shows, feiras, festivais e até o carnaval de ruasão cenários perfeitos para a ação de golpistas. Nessas ocasiões, o fluxo de pessoas é alto e o interesse está voltado para o lazer. Um criminoso pode se aproveitar da movimentação para oferecer um serviço ou produto e apresentar um QR Code falsocomo forma de pagamento.

Na pressa, muitas pessoas escaneiam o código sem verificar, acreditando que estão pagando corretamente. O golpe é simples, rápido e difícil de perceber até que o prejuízo apareça. Por isso, é fundamental redobrar o cuidado em ambientes muito movimentados e conferir sempre as informações da transação antes de finalizar qualquer pagamento.

Locais muito frequentados por turistas

Quem está viajando geralmente quer aproveitar o momento e não ficar preocupado com golpes. Mas é justamente essa confiança em ambientes desconhecidosque abre espaço para criminosos aplicarem o golpe do QR Code falso. Em pontos turísticos, feiras, mercados e lojinhas de souvenirs, é comum encontrar essa forma de pagamento ou acesso a serviços. E é aí que mora o perigo.

Os golpistas sabem que os turistas estão mais suscetíveis e muitas vezes com pressa.Por isso, usam QR Codes adulterados para redirecionar pagamentos ou capturar dados. Em alguns casos, os códigos são colados sobre os originais, em totens ou placas, com aparência legítima.

Também há sites falsos que oferecem passagens, reservas e pacotes turísticos, tudo por meio de um QR Code que leva direto para o prejuízo.

Por isso, em viagens, redobre o cuidado. Sempre que possível, verifique a reputação do local, pesquise antes de comprar e prefira fazer pagamentos diretamente no app da empresa ou com alguém identificado oficialmente. Pequenas atitudes evitam grandes dores de cabeça.

Feiras populares

As feiras ao ar livre fazem parte do cenário de muitas cidades, seja aquela feira de antiguidades no centro histórico ou a famosa "feira do rolo" no bairro. Esses espaços são cheios de achados interessantes, barganhas e vendedores simpáticos.

Mas é justamente por serem ambientes informais, com pouca fiscalização e muita movimentação, que acabam atraindo também quem quer aplicar golpes.

Os golpistas podem montar barracas falsas e se misturar aos vendedores legítimos, oferecendo produtos atrativos e, na hora do pagamento, apresentar um QR Code adulterado. Por isso, vale redobrar a cautela: desconfie de vendedores sem identificação, confirme os dados antes de concluir o pagamento e, se algo parecer estranho, escolha outra forma de pagar.

Como se proteger de um golpe de QR Code falso?

Quando o QR Code é apresentado na hora do pagamento, o golpe é ainda mais difícil de perceber. A pressa, a confiança no atendimento e o hábito de resolver tudo com o celular acabam abrindo espaço para fraudes. Mas com algumas atitudes simples, é possível se proteger e evitar dores de cabeça.

Peça para o vendedor confirmar informações de pagamento

Antes de concluir qualquer pagamento com QR Code, confirme com o vendedor os dados da transação. Pergunte se o nome que aparece é o dele ou da empresa, se o valor está correto e se o código é mesmo aquele que deve ser usado. A checagem leva segundos e pode evitar que seu dinheiro vá parar na conta errada.

Se a resposta for vaga, o vendedor se irritar com a pergunta ou parecer desconfortável, já é um sinal de alerta. A transparência é essencial, e quem está vendendo com honestidade não se incomoda em confirmar as informações com o cliente.

Dê preferência para pagamento via transferência ou cartão

Em locais onde você sente que a estrutura é improvisada, ou se estiver com qualquer tipo de dúvida, prefira pagar com Pix digitando a chave diretamente, usar o cartão ou até mesmo dinheiro. São formas mais fáceis de garantir que o pagamento está indo para a pessoa certa.

Em muitos casos, o golpe acontece justamente porque o QR Code facilita e disfarça a transação. Quando você escolhe um meio mais controlado, também escolhe mais segurança.

Se o QR Code não funcionar, feche o celular na hora

Se o código não funcionar logo de cara, não insista, não fique tentando várias vezes. Alguns golpistas se aproveitam desse momento em que você está focado na tela para observar suas ações ou até tentar levar o seu celular, principalmente se ele estiver com o app bancário aberto.

Nessas situações, a dica é simples: feche o aplicativo e pare o processo imediatamente. Respire, observe o ambiente e, se não se sentir seguro, mude a forma de pagamento. Não vale a pena correr risco. Lembre-se: a segurança deve vir sempre antes da praticidade.

Fique por dentro de mais dicas de segurança com o PagBank

Com a chegada de novas tecnologias, também surgem novas formas de golpe. O quishing é um exemplo clássico disso: um QR Code aparentemente inofensivo pode esconder um ataque sofisticado, silencioso e extremamente prejudicial. E, você sabe: proteger seus dados é tão importante quanto proteger a sua carteira.

O PagBank está ao seu lado para tornar a sua experiência digital mais segura e consciente. Aqui, a informação é tratada como ferramenta de proteção. Por isso, criamos conteúdos práticos, diretos e baseados na realidade de quem usa o celular para resolver tudo - inclusive movimentar dinheiro.

Quer saber como identificar riscos, fugir de armadilhas e agir com mais segurança em cada transação? Então aproveite para ler outros conteúdos completos sobre o tema no nosso bloge no próprio app. A tecnologia não precisa ser um risco, e com o PagBank, ela vira sua aliada.