Inventado em 1994 pela divisão Denso Wave da gigante automotiva japonesa Denso Corporation, o QR Code — sigla para “Quick Response Code” — foi inicialmente criado para agilizar o controle de peças em linhas de produção, reunindo em uma única etiqueta bidimensional informações antes dispersas em vários códigos monodimensionais (1D).
Durante décadas, permaneceu restrito a ambientes industriais até que, com a difusão de smartphones equipados com câmera e aplicativos nativos de leitura, conquistou o público geral. No Brasil, a pandemia de COVID-19 acelerou o uso dos QR Codes em cardápios digitais de restaurantes, em pagamentos sem contato e em verificações de vacinas, sobretudo pela necessidade de minimizar o contato físico e simplificar processos.
Hoje, é raro encontrar um leitor de QR Code que não esteja instalado de fábrica em celulares modernos, o que contribuiu para que o uso de QR Codes falsos — também chamado de quishing — se torne uma preocupação crescente no cenário de cibersegurança.
Quishing: quando o QR Code falso vira arma de phishing
O termo quishing deriva da combinação de “QR Code” com “phishing” e descreve exatamente o golpe em que um código malicioso leva o usuário a um site fraudulento, simulando páginas confiáveis (banco, loja ou serviço) para capturar credenciais e dados sensíveis.
Em muitos leitores, ao ler QR Code, o dispositivo redireciona automaticamente para a página vinculada, sem mostrar a URL completa, facilitando a fraude. A adulteração do código costuma ser feita por meio da substituição ou sobreposição de adesivos, tornando difícil a percepção do usuário menos atento.
Principais ameaças envolvendo QR Codes falsos
Mesmo parecendo inofensivos, os QR Codes maliciosos podem desencadear diversos tipos de ataque:
Phishing e roubo de credenciais
Códigos fraudulentos podem direcionar para páginas idênticas às de bancos ou serviços de e-commerce. Ao inserir login e senha, a vítima entrega suas credenciais ao criminoso. Isso acontece com frequência em estabelecimentos desconhecidos que utilizam QR Codes para pagamento ou acesso à internet, sem qualquer verificação prévia do usuário.
Instalação de malware e vírus
Ao ler códigos QR que apontam para downloads automáticos, o aparelho pode receber arquivos maliciosos disfarçados de aplicativos ou atualizações, abrindo brechas para controle remoto de microfone, câmera e dados pessoais.
Golpes de pagamento (PIX, boletos e assinaturas)
Códigos adulterados podem redirecionar seu pagamento via PIX ou outro meio para a conta do golpista. Uma vez enviado o valor, é praticamente impossível reverter a transação, já que o sistema PIX não tem estorno automático em casos de fraude.
Conexões Wi-Fi maliciosas
QR Codes podem configurar redes sem fio no dispositivo. Ao ler QR Codes que propõem acesso a Wi-Fi “gratuito”, o usuário pode ser conectado a redes controladas por cibercriminosos, que interceptam tudo o que trafega no aparelho. Esse recurso está descrito entre as funcionalidades oficiais dos QR Codes.
Casos reais no Brasil
Um dos golpes mais divulgados em 2024 ocorreu no sistema de bicicletas compartilhadas do Rio de Janeiro (Bike Rio) e em São Paulo (Bike Itaú). Criminosos retiram o adesivo original de uma bicicleta e colam, sobre ele, um QR Code falso que libera outra magrela em alguma estação distinta.
Assim, o usuário paga pelo aluguel, mas não desbloqueia a bike desejada — que fica à disposição dos golpistas — e ainda é cobrado por tempo excedente quando estes a utilizam. Vítimas relatam que, após a leitura, a luz verde acende normalmente, mas a bicicleta em frente não é liberada, e sim outra em local diferente.
As empresas responsáveis (Tembici e Itaú) passaram a adotar medidas como a troca diária de adesivos, QR Codes auto destrutivos e inspeções mais rigorosas nas estações.
Além disso, bares e restaurantes distribuem cardápios digitais via QR Code, mas, em alguns casos, golpistas colam códigos falsos sobre os originais para redirecionar clientes a sites que simulam a interface do estabelecimento ou solicitam downloads suspeitos.
O objetivo varia entre roubo de dados de cartão de crédito, credenciais de aplicativos de delivery e instalação de malwares. Muitos consumidores só percebem o golpe após sofrerem transações não autorizadas ou ao identificar o URL estranho no navegador.
Dicas para não cair nos golpes de QR Code falso
Para usar seu leitor de QR Code com segurança, adote as seguintes práticas:
- Inspecione visualmente o código: verifique se há sinais de adulteração, como adesivos sobrepostos ou impressão fora do padrão. Se o QR parecer desbotado ou desalinhado, evite ler QR Codes ali;
- Use apps que mostrem a URL antes de abrir: prefira leitores que exibam o link completo para análise. Desconfie de domínios genéricos ou encurtados. Não autorize qualquer redirecionamento automático sem verificação prévia;
- Desconfie de solicitações de instalação: nenhum estabelecimento sério pede a instalação de apps para exibir cardápio ou realizar pagamentos. Caso apareça um pedido de download, feche imediatamente e informe o responsável pelo local;
- Evite pagamentos diretos por QR em locais improvisados: se estiver em trânsito ou em evento público, prefira digitar manualmente o PIX ou usar maquininhas de cartão devidamente acompanhadas pelo atendente. Confirme o beneficiário no comprovante antes de concluir a transação;
- Mantenha o sistema e antivírus atualizados: a maioria dos malwares explora falhas conhecidas. Atualizações regulares fecham brechas exploráveis por códigos maliciosos;
- Adote QR Codes dinâmicos e autodestrutivos em seu negócio: se você é empresário, utilize soluções que gerem códigos com prazo de validade curto ou que se desfaçam ao serem removidos, dificultando a troca por falsos.
Conclusão: a importância da educação digital
A popularidade dos QR Codes veio para ficar, graças à praticidade de ler QR Code com um simples toque na tela. Contudo, QR Codes falsos e o quishing mostram que toda inovação traz riscos novos. A melhor defesa é uma combinação de tecnologia — leitores confiáveis, códigos com validação dinâmica e monitoramento — mais a atitude vigilante do usuário.
Educação digital e conscientização permitem que cada pessoa identifique armadilhas antes de escanear, minimizando prejuízos e fortalecendo a segurança coletiva. Lembre-se: antes de ler códigos QR, é fundamental saber em quem confiar.
