O uso de códigos QR tornou-se cada vez mais comum no dia a dia, desde menus digitais em restaurantes até pagamentos, faturas, transportes ou campanhas publicitárias. No entanto, esta facilidade também abriu portas a um novo tipo de fraude: o quishing.
Antes de fazer scan de um código QR, é importante perceber os riscos. Um simples gesto pode encaminhar para páginas falsas, roubar dados pessoais ou até comprometer a segurança do seu dispositivo.
O que é o quishing?
O quishing é uma forma de fraude digital semelhante ao phishing, mas que utiliza códigos QR como meio de ataque. Em vez de clicar num link suspeito, a vítima é levada a digitalizar um código aparentemente legítimo.
Esse código pode direcionar para:
- Páginas falsas que imitam bancos ou serviços online;
- Formulários para recolha de dados pessoais ou bancários;
- Downloads de ficheiros maliciosos;
- Sites criados para roubo de credenciais de acesso.
A principal diferença é que o endereço do site fica oculto até ao momento do scan, o que reduz a desconfiança.
Porque é que esta burla é perigosa?
Os códigos QR não são perigosos por si só, o risco está no destino para onde encaminham. Como não é possível ver o link à primeira vista, torna-se mais difícil identificar tentativas de fraude.
Além disso, esta técnica:
- Contorna filtros de segurança tradicionais;
- Explora a confiança dos utilizadores em códigos QR;
- Aproveita situações do dia a dia para parecer legítima;
- Incentiva decisões rápidas, sem verificação.
Como funciona o quishing na prática?
Existem várias formas de aplicar este tipo de burla, tanto em ambientes físicos como digitais.
Em locais públicos
Os burlões podem substituir ou sobrepor códigos QR legítimos por versões falsas em:
- Parquímetros;
- Mesas de restaurantes;
- Cartazes publicitários;
- Estações de carregamento ou máquinas automáticas.
A vítima acredita estar a aceder a um serviço normal, mas é redirecionada para um site fraudulento.
Em formato digital
O código QR também pode surgir em:
- Emails que imitam bancos ou entidades oficiais;
- Mensagens SMS ou aplicações de chat;
- Documentos PDF com pedidos de validação ou assinatura.
Nestes casos, o objetivo é levar o utilizador a agir rapidamente, sem questionar.
Exemplos reais de situações de quishing
Este tipo de fraude já foi identificado em vários países e contextos:
- Falsos pagamentos de estacionamento através de códigos QR adulterados;
- Ementas digitais substituídas por páginas fraudulentas;
- Emails com QR codes para “confirmar contas” ou “assinar documentos”;
- Tentativas de acesso a contas bancárias através de páginas falsas.
Em Portugal, já foram reportados casos em espaços públicos, o que indica que esta ameaça está a crescer.
Sinais de alerta a que deve estar atento
Antes de digitalizar um código QR, há vários indícios que podem ajudar a identificar fraude:
- Códigos colados por cima de outros ou com aspeto adulterado;
- Autocolantes mal aplicados ou fora de contexto;
- Pedidos urgentes de pagamento ou validação;
- Mensagens inesperadas com QR codes;
- Links estranhos ou encurtados após o scan;
- Páginas que pedem dados sensíveis sem explicação clara.
A pressa é um dos principais aliados dos burlões. Sempre que sentir urgência, desconfie.
Quishing vs phishing: qual é a diferença?
Embora tenham o mesmo objetivo, existem diferenças importantes:
- No phishing tradicional, o ataque é feito através de links visíveis;
- No quishing, o link está escondido dentro do código QR;
- O utilizador clica no phishing e faz scan no quishing;
- O quishing adapta-se facilmente a contextos físicos e digitais.
Como se proteger de códigos QR fraudulentos
Adotar alguns cuidados simples pode reduzir significativamente o risco:
- Verifique sempre o endereço antes de abrir o link;
- Evite digitalizar códigos QR de origem desconhecida;
- Não introduza dados pessoais ou bancários em páginas suspeitas;
- Confirme diretamente com a entidade (ex.: restaurante, banco) se tiver dúvidas;
- Prefira aceder a sites digitando o endereço manualmente;
- Utilize aplicações que permitem pré-visualizar o link.
Configurações úteis no telemóvel
Pode também ajustar o seu dispositivo para maior segurança:
- Evitar a abertura automática de links após o scan;
- Confirmar que o sistema mostra o endereço antes de aceder;
- Manter o sistema operativo e aplicações atualizados.
O que fazer se digitalizar um código suspeito?
Se já fez o scan, a resposta deve ser rápida:
- Não introduziu dados? Feche a página imediatamente;
- Inseriu informações pessoais ou bancárias? Contacte o seu banco de imediato;
- Descarregou ficheiros? Faça uma verificação de segurança ao dispositivo;
- Altere palavras-passe de contas importantes (email, banca, redes sociais).
Como denunciar uma situação de quishing
Se suspeitar de fraude, deve reportar a situação às autoridades competentes.
Em Portugal, pode:
- Apresentar queixa junto da Polícia Judiciária;
- Informar a entidade responsável pelo local onde encontrou o código;
- Alertar outras pessoas para evitar novas vítimas.
O quishing é uma ameaça crescente que tira partido de um hábito cada vez mais comum: digitalizar códigos QR sem pensar duas vezes.
A melhor defesa passa por algo simples, parar antes de agir. Verificar o destino, desconfiar de pedidos urgentes e evitar partilhar dados sensíveis são passos essenciais para proteger a sua informação e o seu dinheiro.
