Um QR Code é uma imagem. Essa frase simples explica por que o quishing — phishing embutido em QR Code — se tornou uma das ameaças que mais crescem no mundo. Filtros de e-mail leem texto, não pixels. Seus olhos leem endereços, não quadradinhos pretos. E é exatamente nesse ponto cego, entre o que a máquina consegue analisar e o que o ser humano consegue conferir, que o golpe acontece.
O que é quishing, exatamente
Quishing é a junção de QR Code e phishing. A lógica do golpe é idêntica à do phishing tradicional: induzir a vítima a acessar uma página falsa e entregar credenciais, dados bancários ou autorizar um pagamento. O que muda é o mecanismo de entrega — em vez de um link clicável em texto, o endereço malicioso vai codificado dentro de uma imagem.
Essa mudança aparentemente trivial tem três consequências que fazem do quishing um vetor desproporcionalmente eficaz.
Primeiro: a máquina não vê. Filtros de segurança de e-mail (os chamados Secure Email Gateways) foram construídos para analisar URLs em texto — comparar contra listas de domínios maliciosos, checar reputação, detectar typosquatting. Um QR Code é opaco para essa análise. Para detectá-lo, o filtro precisaria identificar a imagem, decodificá-la e analisar a URL resultante em tempo real — algo que a maioria das soluções tradicionais simplesmente não faz.
Segundo: o olho humano não lê. Um link em texto pode ser inspecionado antes do clique — dá para passar o mouse por cima, ler o domínio, desconfiar do endereço. Um QR Code não oferece essa possibilidade. Você não tem como saber para onde ele aponta antes de escanear.
Terceiro: o ataque migra de dispositivo. O e-mail chega no computador corporativo, protegido por firewall e antivírus da empresa. Mas o QR Code é escaneado no celular pessoal — fora do perímetro monitorado. Cerca de 68% dos ataques de quishing têm como alvo dispositivos móveis, e isso não é acidente: é design.
A telemetria da Unit 42 (Palo Alto Networks) detecta em média mais de 11 mil QR Codes maliciosos por dia. A Mimecast identificou mais de 716 mil QR Codes maliciosos únicos em um único trimestre de 2025. Não é uma ameaça emergente — é uma indústria em operação.
As quatro formas do golpe no Brasil
O QR Code colado por cima do original
É a variante mais comum e mais simples. O criminoso imprime um adesivo com seu próprio QR Code e o cola sobre o código legítimo — no cardápio do restaurante, no totem de pagamento do estacionamento, no parquímetro, no cartaz do evento, na maquininha do posto de gasolina.
O que torna esse golpe eficaz não é a sofisticação técnica. É o contexto de confiança: você não está confiando no adesivo, está confiando no ambiente. Um QR Code na mesa de um restaurante conhecido carrega a credibilidade do restaurante — mesmo que tenha sido colado ali cinco minutos antes por um estranho.
Como identificar: passe o dedo sobre o código. Se for um adesivo aplicado por cima de outro impresso, você vai sentir a borda. Códigos legítimos costumam ser impressos diretamente no material, não colados.
O QR Code de pagamento adulterado
No Brasil, o vetor mais grave é o pagamento. Um QR Code de Pix carrega os dados do destinatário codificados na imagem. Trocar o código por outro significa redirecionar o dinheiro para uma conta laranja — e o pagamento é irreversível em segundos.
A boa notícia é que existe uma janela de verificação: antes de confirmar qualquer Pix por QR Code, o app do banco mostra o nome do recebedor. Esse é o momento decisivo. Se você vai pagar a conta do restaurante "Cantina do João" e o nome que aparece é de uma pessoa física desconhecida ou de uma empresa que você nunca ouviu falar, pare. A pressa de fechar a conta é exatamente o que o golpe explora.
O QR Code que substitui o link no phishing por e-mail
Aqui o quishing é usado deliberadamente para burlar os filtros. O e-mail chega dizendo que sua autenticação de dois fatores expirou, que há uma fatura pendente ou que um documento aguarda assinatura — e contém apenas uma imagem com QR Code, sem nenhum link clicável.
Existe uma evolução ainda mais sofisticada: o QR Code dinâmico. O criminoso usa o mesmo tipo de código que empresas legítimas usam para atualizar links sem reimprimir material. Quando o e-mail chega, o QR Code aponta para uma página inofensiva — o filtro de segurança analisa, não encontra nada e libera a mensagem. Depois que o e-mail já passou por todas as barreiras, o criminoso "vira a chave" no servidor e redireciona aquele mesmo código para a página de phishing.
Sinal de alerta definitivo: nenhuma empresa séria pede que você escaneie um QR Code para "revalidar sua senha" ou "reativar seu acesso". Se a mensagem desencoraja você a confirmar por outro canal, é golpe — isolar a vítima do processo de verificação é técnica clássica de engenharia social.
Multas, taxas e notificações governamentais
Criminosos enviam imagens de notificações com aparência oficial — multa de trânsito, intimação, taxa de regularização — contendo um QR Code em vez de um link suspeito. A vítima escaneia, chega a uma página que imita o portal do órgão e é conduzida a preencher nome, CPF, endereço e dados de cartão.
A regra que resolve: órgãos públicos brasileiros usam domínios terminados em .gov.br. Se a página aberta pelo QR Code tem endereço terminado em .com, .org, .life ou qualquer outra coisa, é fraude. Multas e taxas legítimas devem ser consultadas digitando o endereço do Detran ou do órgão manualmente no navegador.
Por que "escanear não infecta" é uma meia-verdade perigosa
Existe uma crença tranquilizadora de que apenas apontar a câmera para um QR Code não faz mal — que o risco só começa se você digitar alguma coisa. Isso é parcialmente correto e perigosamente incompleto.
É verdade que, em 2026, o simples ato de escanear dificilmente instala malware sozinho: os sistemas operacionais móveis têm proteções de sandboxing que isolam o navegador. Mas o QR Code não precisa instalar nada para funcionar. Ele precisa apenas te levar até a página falsa — e a partir daí o golpe é o phishing de sempre, com todas as suas técnicas de persuasão.
Além disso, um QR Code pode conter muito mais do que uma URL. Ele pode carregar credenciais de rede Wi-Fi (conectando seu celular a uma rede controlada pelo criminoso), um contato para inserir na sua agenda (preparando um golpe telefônico futuro), ou um comando para abrir o app de e-mail ou o discador com dados pré-preenchidos.
Muita gente aprendeu que "site com cadeado é seguro". Isso nunca foi verdade e hoje é menos ainda. Sites de phishing usam HTTPS normalmente — obter um certificado é gratuito e automático. O cadeado significa apenas que a conexão está criptografada, não que o site do outro lado seja legítimo. O que importa é o domínio, não o cadeado.
Como verificar um QR Code antes de cair
A defesa contra quishing não é parar de usar QR Codes — é introduzir dois segundos de atrito entre o escaneamento e a ação.
- Leia o banner antes de tocar. Tanto o iOS quanto o Android mostram o endereço de destino em uma notificação após o escaneamento — antes de abrir. Leia esse endereço. Não toque automaticamente.
- Confira o domínio, não o caminho. Em banco-seguranca.pagamentos.xyz.com, o domínio real é xyz.com — tudo o que vem antes é subdomínio e pode ser qualquer coisa que o criminoso quiser.
- Desconfie de encurtadores. Se o QR Code leva a um endereço encurtado (bit.ly, cutt.ly e similares), o destino real está escondido. Um estabelecimento legítimo não tem motivo para esconder o próprio endereço.
- No Pix, confirme o nome do recebedor. Sempre. Todo pagamento por QR Code mostra o nome antes da confirmação. Se não bate com quem você está pagando, cancele.
- Toque no código físico. Adesivo colado por cima tem borda perceptível ao tato.
- Nunca escaneie QR Code de e-mail que pede senha. Nenhuma empresa faz isso. Acesse o serviço digitando o endereço no navegador.
- Na dúvida, digite o endereço manualmente. O QR Code é conveniência, não obrigação. Perder 20 segundos digitando é mais barato que perder a conta bancária.
Copie a URL que apareceu e cole no verificador de links do Utilix. Ele analisa domínio, subdomínios suspeitos, encurtadores, uso de HTTPS e imitação de marcas conhecidas — sem cadastro e sem enviar nada para servidor nenhum.
Analisar link suspeito →Se você já escaneou e forneceu dados
A velocidade importa mais do que a vergonha. Credenciais capturadas às 10h costumam ser usadas às 10h30.
Se você inseriu senha, troque imediatamente essa senha e todas as outras iguais ou parecidas, começando pelo e-mail principal. Se inseriu dados de cartão, ligue para o banco pelo número no verso do cartão e peça o bloqueio. Se fez um Pix, acione o banco pelo aplicativo oficial e solicite o MED (Mecanismo Especial de Devolução) — o prazo é de até 80 dias, mas a chance de recuperação cai drasticamente a cada hora.
O protocolo completo, incluindo boletim de ocorrência e canais oficiais de reclamação, está detalhado no nosso guia sobre o que fazer se você caiu em um golpe.
Referências e fontes
- Keepnet Labs. QR Code Phishing Statistics & Quishing Trends. 2026. keepnetlabs.com
- Palo Alto Networks Unit 42. Phishing on the Edge of the Web and Mobile Using QR Codes. 2026.
- EC-Council University. What Is Quishing? QR Code Phishing Explained (2026 Guide). eccu.edu
- Microsoft. Dados de aumento de 146% em ataques de quishing entre janeiro e março de 2026.
- NordVPN / CNBC. Pesquisa sobre verificação de destino em escaneamento de QR Codes. 2025.
- Starti. Golpe do QR Code: como identificar e evitar o Quishing. Fevereiro de 2026. blog.starti.com.br
- OBlock. Quishing: o que é o phishing por QR Code e como funciona. Maio de 2026. oblock.com.br
- TI Safe. Golpe do QR Code: você conhece o quishing? tisafe.com
- Banco Central do Brasil. Mecanismo Especial de Devolução (MED). bcb.gov.br