How can I tell if a QR code is safe before scanning it?

You cannot determine a QR code's safety just by looking at it, which is why you should use a QR scanner app that previews the destination URL before opening it. Check that the URL matches the expected domain exactly, looking for misspellings or suspicious extensions. For physical QR codes, inspect for signs of tampering like stickers over original codes or poor print quality.

What should I do if I accidentally scanned a malicious QR code?

Immediately close the browser window without entering any information or clicking links. If you already entered credentials, change your passwords immediately on all affected accounts using a different device. Monitor your bank and credit card statements for unauthorized transactions and consider placing fraud alerts with credit bureaus if you provided personal or financial information.

Are QR codes in emails always dangerous?

Not all QR codes in emails are malicious, but they should be treated with extreme caution because they're a common attack vector. Legitimate companies rarely send QR codes for sensitive actions like password resets or payments in unsolicited emails. Always verify the sender's authenticity through independent channels and prefer typing URLs directly rather than scanning codes for important accounts.

Can my phone get infected with malware just by scanning a QR code?

Simply scanning a QR code typically won't infect your device, but the destination website could prompt you to download malicious apps or exploit browser vulnerabilities. Modern smartphones usually require explicit permission before downloading files, but sophisticated attacks can exploit zero-day vulnerabilities. Using updated mobile security software and keeping your operating system current provides important protection.

Why don't email security systems catch QR code phishing attacks?

Traditional email security filters scan text, URLs, and attachments for known malicious patterns, but QR codes appear as harmless images in email analysis. The malicious URL is encoded within the image itself, making it invisible to standard scanning tools. This is why quishing attacks have become so prevalent—they exploit a blind spot in conventional email security infrastructure.

Alto risco Perda média: $1,500 Duração típica: 1-3 days

Quishing (Phishing por Código QR): Guia Completo de Proteção

Quishing, ou phishing por código QR, é um método de ataque cibernético em rápido crescimento onde criminosos substituem códigos QR legítimos por maliciosos ou criam códigos falsos que redirecionam vítimas para sites fraudulentos. Segundo o Centro de Reclamações de Crimes na Internet do FBI, as fraudes relacionadas a códigos QR aumentaram 587% entre 2022 e 2023, com perdas médias atingindo R$ 7.500 por incidente. Esses ataques exploram o fato de que códigos QR são ilegíveis para humanos, tornando impossível verificar o destino antes de escanear. O golpe normalmente funciona colocando códigos QR fraudulentos em parquímetros, mesas de restaurantes, embalagens de produtos ou anexos de email que parecem ser de empresas legítimas. Quando escaneados, esses códigos redirecionam vítimas para sites falsos convincentes projetados para coletar credenciais de login, informações bancárias ou detalhes de cartões de pagamento. Em ambientes corporativos, os atacantes enviam códigos QR por email que contornam filtros de segurança tradicionais, levando funcionários a páginas falsas de login do Microsoft 365 ou portais de folha de pagamento. O que torna o quishing particularmente perigoso é sua capacidade de contornar medidas de segurança convencionais. Os sistemas tradicionais de segurança de email varrem URLs e anexos em busca de conteúdo malicioso, mas códigos QR aparecem como imagens inofensivas. Além disso, muitos smartphones abrem automaticamente links de códigos QR sem mostrar a URL completa primeiro, dando às vítimas nenhuma oportunidade de verificar o destino. A Comissão Federal de Comércio relatou que as empresas perderam mais de R$ 240 milhões para fraudes com códigos QR em 2023, com consumidores e funcionários sendo vítimas desses ataques sofisticados.

Táticas comuns Como identificar Como se proteger Casos reais Onde denunciar

Táticas comuns

• Substituição física de código QR: Golpistas imprimem adesivos com códigos QR maliciosos e os colocam sobre códigos legítimos em parquímetros, terminais de pagamento de restaurantes, estações de carregamento de veículos elétricos e rótulos de pacotes de entrega, redirecionando pagamentos para suas próprias contas.
• Campanhas de quishing por email: Atacantes enviam emails com aparência profissional fingindo ser de departamentos de TI, RH ou instituições financeiras com códigos QR para redefinição urgente de senha, configuração de autenticação multifator ou pagamentos de faturas que levam a sites de coleta de credenciais.
• Avisos falsos de violação de estacionamento: Criminosos colocam multas de estacionamento fraudulentas nos para-brisas com códigos QR alegando oferecer opções de pagamento rápido, que na verdade roubam informações de cartão de crédito e dados pessoais quando escaneados.
• Iscas de investimento em criptomoedas: Golpistas distribuem códigos QR por redes sociais e aplicativos de mensagens afirmando fornecer acesso a oportunidades exclusivas de investimento em criptomoedas, mas na verdade drenam as carteiras digitais das vítimas quando escaneados.
• Fraudes de entrega de pacotes: Fraudadores enviam mensagens de texto ou emails com códigos QR alegando reagendar entregas de pacotes ou pagar taxas de alfândega, levando a sites de serviços postais falsos que capturam informações de cartão de pagamento.
• Fraudes de cardápio e pagamento em restaurantes: Atacantes criam códigos QR falsos para cardápios digitais ou pagamentos de serviço de mesa em restaurantes, redirecionando clientes para sites que imitam os legítimos e roubam dados de cartão de crédito quando os clientes tentam pagar suas contas.

Como identificar

Incompatibilidade de visualização de URL: Antes de abrir o link, verifique se seu telefone exibe uma URL de visualização que não corresponde ao destino esperado (por exemplo, um código QR de parquímetro mostrando uma URL de site pessoal em vez do domínio oficial da cidade).
Evidência de manipulação física: Procure por adesivos colocados sobre códigos QR originais, impressão desalinhada, qualidade de papel diferente ou códigos que parecem ter sido adicionados depois, em vez de serem impressos profissionalmente como parte do material original.
Solicitações de ação urgente: Desconfie de códigos QR acompanhados por linguagem ameaçadora como 'sua conta será suspensa em 24 horas', 'atualização de segurança urgente necessária' ou 'pague em 2 horas para evitar penalidades', pois serviços legítimos raramente usam essas táticas de pressão.
Comunicação genérica ou impessoal: Emails ou mensagens contendo códigos QR que não usam seu nome real, fazem referência a problemas vagos de conta ou carecem de detalhes específicos sobre seu relacionamento com o suposto remetente são provavelmente fraudulentos.
Solicitações de autenticação inesperadas: Se você receber códigos QR não solicitados alegando configurar autenticação multifator, verificar detalhes de conta ou confirmar identidade quando não iniciou nenhum desses processos, este é um sinal de alerta importante.
Inconsistência de destino de pagamento: Quando um código QR leva a uma página de pagamento, verifique se o nome do destinatário, detalhes comerciais e processador de pagamento correspondem às expectativas — golpistas frequentemente usam contas pessoais ou plataformas de pagamento desconhecidas em vez de serviços de comerciante estabelecidos.

Como se proteger

Instale um scanner de código QR com visualização de URL: Use aplicativos leitores de código QR que exibem a URL de destino completa antes de abri-la, e sempre verifique se o domínio corresponde à organização legítima (procure por erros ortográficos sutis como 'micros0ft.com.br' com um zero em vez de 'o').
Digite manualmente URLs oficiais: Em vez de escanear códigos QR para ações sensíveis como operações bancárias, redefinições de senha ou pagamentos, navegue para o site oficial digitando a URL diretamente no seu navegador ou usando marcadores salvos.
Verifique códigos QR físicos antes de escanear: Examine parquímetros, terminais de pagamento e embalagens de produtos em busca de sinais de manipulação — códigos QR legítimos devem ser impressos como parte do material original, não adicionados por meio de adesivos ou rótulos separados.
Ative autenticação de dois fatores em todas as contas: Mesmo que golpistas obtenham suas credenciais através de quishing, a autenticação de dois fatores apropriada usando aplicativos autenticadores (não SMS) os impede de acessar suas contas sem o código de verificação secundária.
Contate organizações por canais oficiais: Se você receber um código QR alegando ação urgente, entre em contato independentemente com a organização usando números de telefone ou sites de suas fontes oficiais, não informações fornecidas na mensagem suspeita.
Use software de segurança móvel: Instale aplicativos reputáveis de segurança móvel que possam detectar e bloquear sites maliciosos, mesmo quando acessados através de códigos QR, fornecendo uma camada adicional de proteção contra roubo de credenciais e malware.

Casos reais

Um pequeno empresário recebeu um email aparentando ser de seu provedor de software de contabilidade com um código QR para 'verificação de segurança obrigatória'. Ao escanear, levou a uma página de login falsa convincente onde inseriu suas credenciais. Em 2 horas, golpistas acessaram sua conta, alteraram informações de recuperação e enviaram transferências ACH fraudulentas totalizando R$ 42.000 para contas externas. A empresa descobriu a violação apenas quando as solicitações de pagamento legítimas foram rejeitadas por falta de fundos.

Clientes em um restaurante popular no centro escanearamc códigos QR nas mesas para visualizar o cardápio, sem perceber que golpistas tinham substituído os códigos legítimos durante a noite. Os códigos falsos levaram a um site clonado que parecia idêntico ao sistema de pedidos real do restaurante. Ao longo de um fim de semana, 47 clientes inseriram suas informações de cartão de crédito para pagar as refeições, e os golpistas imediatamente utilizaram os dados roubados para compras fraudulentas com média de R$ 11.500 por cartão antes do restaurante descobrir a substituição.

Onde denunciar — Portugal / Brasil

Canais oficiais na sua região para denunciar este golpe.

Polícia Judiciária - Cibercrime (Portugal)

Cibercrime

Gabinete Cibercrime do Ministério Público — denúncias online.

Visitar →

CERT.PT (Portugal)

Denúncia

Centro Nacional de Cibersegurança — incidentes cibernéticos.

Visitar →

Polícia Federal - DENARC (Brasil)

Cibercrime

Canal de denúncia da Polícia Federal brasileira.

197 Visitar →

PROCON (Brasil)

Defesa do consumidor

Procon — defesa do consumidor (telefone varia por estado).

151 Visitar →

Acha que encontrou este golpe?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), quishing (phishing por código qr): guia completo de proteção is described at https://scamlens.org/pt/encyclopedia/quishing-qr-code-phishing.

https://scamlens.org/pt/encyclopedia/quishing-qr-code-phishing

Comece aqui

Verificação de Segurança

Inteligência

Ferramentas e Relatórios

Serviços Premium

Extensão e API