Seguranca 7 min de leitura

Seguranca em QR Code: Cuidados ao Escanear

Riscos de QR Codes maliciosos, phishing via QR (quishing), como verificar antes de acessar e como proteger seus proprios QR Codes de adulteracao.

O QR Code e uma tecnologia neutra — pode ser usada para fins legitimos ou maliciosos. Com a adocao massiva (especialmente no contexto de pagamentos PIX), os golpes via QR Code aumentaram. Neste artigo, vamos explorar os riscos reais, como se proteger e como proteger seus proprios QR Codes de adulteracao.

O que e “quishing”?

Quishing e a combinacao de “QR Code” com “phishing” — o ato de usar QR Codes maliciosos para direcionar vitimas a sites fraudulentos, coletar credenciais ou instalar malware.

Diferente de links de phishing em emails (onde o navegador mostra a URL), o QR Code “esconde” o destino — muitas pessoas escaneiam sem verificar o link antes de tocar.

Tipos de ataques com QR Code

1. QR Code substituido (overlay attack): O mais comum no Brasil. Um golpista cria um QR Code malicioso e cola sobre o legitimo em locais publicos — estacionamentos, mesas de restaurante, maquinas de pagamento, ATMs.

O usuario escaneia achando que e o QR legitimo, mas e redirecionado para um site falso ou tem seus dados de pagamento roubados.

2. QR Code em email de phishing: Emails fraudulentos que incluem QR Code em vez de link de texto — porque os filtros antispam geralmente analisam texto mas nao decodificam QR Codes nas imagens.

O email “de banco” pede para escanear o QR para confirmar dados, desbloquear conta, etc.

3. QR PIX falso em sites de compra: Em transacoes P2P (Marketplace Facebook, OLX, grupos de WhatsApp), golpistas enviam QR PIX falso onde o nome do recebedor e diferente do vendedor esperado.

4. QR malware: QR Code que direciona para download automatico de app malicioso ou que explora vulnerabilidades do navegador.

Como se proteger ao escanear QR Codes

Antes de escanear

  • Verifique fisicamente o QR: Esta intacto? Ha algum adesivo sobreposto? O QR parece “fora do lugar” no contexto onde esta?
  • Contexto faz sentido? Um QR Code em um poste de rua sem contexto, ou em uma mesa de restaurante diferente do restante do material, e suspeito.

Ao escanear

  • Leia a URL antes de abrir: A maioria dos apps de camera mostra a URL antes de redirecionar. Verifique se o dominio faz sentido (banco.com.br vs banco-seguro.net).
  • Desconfie de dominos estranhos: URLs com muitos hifens, numeros ou subdomínios suspeitos (bancobrasil-acesso.app.xyz) sao sinais de alerta.
  • Nunca insira senha apos QR: Se o QR levou a uma tela de login que voce nao iniciou, e provavelmente phishing.

Para pagamentos PIX via QR

  • Sempre confirme o nome do recebedor antes de confirmar o pagamento. O app do banco mostra o nome cadastrado — se for diferente do esperado, cancele.
  • Confira o valor: Nunca confirme um pagamento com valor diferente do acordado.
  • Em estabelecimentos fisicos: Se o QR PIX mostrar um nome de pessoa fisica (CPF) mas o estabelecimento e uma empresa, questione. Pode ser legitimo (MEI), mas vale confirmar.

Como proteger seus proprios QR Codes

Nos estabelecimentos fisicos

  • Use suportes fixos e dificeis de remover: Plaquinhas acrilicas parafusadas na mesa, adesivos de seguranca que deixam marca ao ser removidos
  • Verifica regularmente: Cheque diariamente se o QR na loja e o original. Escaneie voce mesmo para confirmar o destino.
  • Exiba o nome/URL ao lado do QR: “Pagar para: Jose da Silva - jose@email.com” ao lado do QR PIX. Dificulta a falsificacao e facilita a verificacao pelo cliente.
  • Use laminas plastificadas anti-adulteracao: Alguns fornecedores oferecem plastificacao que deixa marcas visiveis se alguem tentar remover ou cobrir.

No conteudo do QR

  • Use HTTPS sempre: Links sem HTTPS (http://) em QR Codes de 2026 sao um sinal de alerta tanto para voce quanto para os usuarios.
  • Dominio proprio: Um QR apontando para seusite.com.br e mais confiavel que um QR apontando para qr123.app/abc.
  • Monitoramento: Use UTM tracking para monitorar se o QR continua sendo escaneado normalmente — um drop repentino pode indicar que foi substituido.

QR Code de pagamento PIX: verificacoes automaticas dos bancos

Os apps bancarios tem verificacoes de seguranca para QR PIX:

  • Validacao do CRC-16: Qualquer alteracao no payload invalida o checksum e o app rejeita.
  • Validacao do formato TLV: O payload deve seguir exatamente o padrao EMV BRCODE.
  • Nome do recebedor visivel: O app sempre mostra o nome antes de confirmar — e a ultima linha de defesa do usuario.

Isso significa que alterar o destino do pagamento em um QR PIX legado e muito dificil — o golpista precisaria gerar um QR PIX completamente novo com seus proprios dados.

O que fazer se voce foi vitima de QR golpe

Para pagamentos PIX:

  1. Contate seu banco imediatamente — ha um mecanismo de devolucao em casos de golpe (MED - Mecanismo Especial de Devolucao)
  2. Registre boletim de ocorrencia (BO) na delegacia ou pelo site delegaciadigital.sp.gov.br
  3. Reporte ao BACEN via portal do cidadao do Banco Central

Para roubo de dados:

  1. Troque senhas de todos os servicos que possam ter sido comprometidos
  2. Verifique movimentacoes em contas bancarias e cartoes
  3. Ative autenticacao de dois fatores (2FA) em contas criticas

Conclusao

O QR Code e seguro quando usado corretamente — a tecnologia em si nao tem vulnerabilidades inerentes. Os riscos vem do comportamento humano: escanear sem verificar, confirmar pagamentos sem checar o nome do recebedor, nao verificar fisicamente QRs em locais publicos. Com as praticas deste guia, voce usa QR Code com confiança tanto como usuario quanto como estabelecimento.

Ferramentas relacionadas

Leitor Qr Code