Inventado em 1994 pela divisão Denso Wave da gigante automotiva japonesa Denso Corporation, o QR Code — sigla para “Quick Response Code” — foi inicialmente criado para agilizar o controle de peças em linhas de produção, reunindo em uma única etiqueta bidimensional informações antes dispersas em vários códigos monodimensionais (1D).
Durante décadas, permaneceu restrito a ambientes industriais até que, com a difusão de smartphones equipados com câmera e aplicativos nativos de leitura, conquistou o público geral. No Brasil, a pandemia de COVID-19 acelerou o uso dos QR Codes em cardápios digitais de restaurantes, em pagamentos sem contato e em verificações de vacinas, sobretudo pela necessidade de minimizar o contato físico e simplificar processos.
Hoje, é raro encontrar um leitor de QR Code que não esteja instalado de fábrica em celulares modernos, o que contribuiu para que o uso de QR Codes falsos — também chamado de quishing — se torne uma preocupação crescente no cenário de cibersegurança.
Quishing: quando o QR Code falso vira arma de phishing
O termo quishing deriva da combinação de “QR Code” com “phishing” e descreve exatamente o golpe em que um código malicioso leva o usuário a um site fraudulento, simulando páginas confiáveis (banco, loja ou serviço) para capturar credenciais e dados sensíveis.
Em muitos leitores, ao ler QR Code, o dispositivo redireciona automaticamente para a página vinculada, sem mostrar a URL completa, facilitando a fraude. A adulteração do código costuma ser feita por meio da substituição ou sobreposição de adesivos, tornando difícil a percepção do usuário menos atento.
Principais ameaças envolvendo QR Codes falsos
Mesmo parecendo inofensivos, os QR Codes maliciosos podem desencadear diversos tipos de ataque:
Phishing e roubo de credenciais
Códigos fraudulentos podem direcionar para páginas idênticas às de bancos ou serviços de e-commerce. Ao inserir login e senha, a vítima entrega suas credenciais ao criminoso. Isso acontece com frequência em estabelecimentos desconhecidos que utilizam QR Codes para pagamento ou acesso à internet, sem qualquer verificação prévia do usuário.
Instalação de malware e vírus
Ao ler códigos QR que apontam para downloads automáticos, o aparelho pode receber arquivos maliciosos disfarçados de aplicativos ou atualizações, abrindo brechas para controle remoto de microfone, câmera e dados pessoais.
Golpes de pagamento (PIX, boletos e assinaturas)
Códigos adulterados podem redirecionar seu pagamento via PIX ou outro meio para a conta do golpista. Uma vez enviado o valor, é praticamente impossível reverter a transação, já que o sistema PIX não tem estorno automático em casos de fraude.
Conexões Wi-Fi maliciosas
QR Codes podem configurar redes sem fio no dispositivo. Ao ler QR Codes que propõem acesso a Wi-Fi “gratuito”, o usuário pode ser conectado a redes controladas por cibercriminosos, que interceptam tudo o que trafega no aparelho. Esse recurso está descrito entre as funcionalidades oficiais dos QR Codes.
Conteúdo extra LIBERADO: assista ao videocast exclusivo abaixo e aprenda como proteger seu time das novas - e sofisticadas - ameaças cibernéticas que estão surgindo. Cadastre-se e receba o link para assistir quando quiser!
Casos reais no Brasil
Um dos golpes mais divulgados em 2024 ocorreu no sistema de bicicletas compartilhadas do Rio de Janeiro (Bike Rio) e em São Paulo (Bike Itaú). Criminosos retiram o adesivo original de uma bicicleta e colam, sobre ele, um QR Code falso que libera outra magrela em alguma estação distinta.
Assim, o usuário paga pelo aluguel, mas não desbloqueia a bike desejada — que fica à disposição dos golpistas — e ainda é cobrado por tempo excedente quando estes a utilizam. Vítimas relatam que, após a leitura, a luz verde acende normalmente, mas a bicicleta em frente não é liberada, e sim outra em local diferente.
As empresas responsáveis (Tembici e Itaú) passaram a adotar medidas como a troca diária de adesivos, QR Codes auto destrutivos e inspeções mais rigorosas nas estações.
Além disso, bares e restaurantes distribuem cardápios digitais via QR Code, mas, em alguns casos, golpistas colam códigos falsos sobre os originais para redirecionar clientes a sites que simulam a interface do estabelecimento ou solicitam downloads suspeitos.
O objetivo varia entre roubo de dados de cartão de crédito, credenciais de aplicativos de delivery e instalação de malwares. Muitos consumidores só percebem o golpe após sofrerem transações não autorizadas ou ao identificar o URL estranho no navegador.
Dicas para não cair nos golpes de QR Code falso
Para usar seu leitor de QR Code com segurança, adote as seguintes práticas:
- Inspecione visualmente o código: verifique se há sinais de adulteração, como adesivos sobrepostos ou impressão fora do padrão. Se o QR parecer desbotado ou desalinhado, evite ler QR Codes ali;
- Use apps que mostrem a URL antes de abrir: prefira leitores que exibam o link completo para análise. Desconfie de domínios genéricos ou encurtados. Não autorize qualquer redirecionamento automático sem verificação prévia;
- Desconfie de solicitações de instalação: nenhum estabelecimento sério pede a instalação de apps para exibir cardápio ou realizar pagamentos. Caso apareça um pedido de download, feche imediatamente e informe o responsável pelo local;
- Evite pagamentos diretos por QR em locais improvisados: se estiver em trânsito ou em evento público, prefira digitar manualmente o PIX ou usar maquininhas de cartão devidamente acompanhadas pelo atendente. Confirme o beneficiário no comprovante antes de concluir a transação;
- Mantenha o sistema e antivírus atualizados: a maioria dos malwares explora falhas conhecidas. Atualizações regulares fecham brechas exploráveis por códigos maliciosos;
- Adote QR Codes dinâmicos e autodestrutivos em seu negócio: se você é empresário, utilize soluções que gerem códigos com prazo de validade curto ou que se desfaçam ao serem removidos, dificultando a troca por falsos.
Conclusão: a importância da educação digital
A popularidade dos QR Codes veio para ficar, graças à praticidade de ler QR Code com um simples toque na tela. Contudo, QR Codes falsos e o quishing mostram que toda inovação traz riscos novos. A melhor defesa é uma combinação de tecnologia — leitores confiáveis, códigos com validação dinâmica e monitoramento — mais a atitude vigilante do usuário.
Educação digital e conscientização permitem que cada pessoa identifique armadilhas antes de escanear, minimizando prejuízos e fortalecendo a segurança coletiva. Lembre-se: antes de ler códigos QR, é fundamental saber em quem confiar.
