Dinheiro

Quishing: como proteger o seu dinheiro de burlas com QR Codes?

1 min
Luis Pinto
Luis Pinto

Índice de conteúdos:

  1. O que dizem os números sobre o aumento do Quishing?
  2. O que é o Quishing e o que o diferencia do Phishing?
  3. Como funcionam e onde acontecem as burlas com QR Codes?
  4. Como ler QR Codes de forma segura?
  5. O que fazer se cair numa burla com QR Codes falsos?

Basta apontar o telemóvel para um pequeno quadrado preto e branco e, em poucos segundos, abrir um menu, pagar o estacionamento ou fazer o check-in num evento. Os códigos QR entraram de tal forma no nosso dia a dia que já quase ninguém pensa duas vezes antes de os ler. É precisamente esta confiança que os burlões aproveitam.

Chamada “Quishing”, esta burla consiste em esconder um endereço malicioso num QR Code. Ao lê-lo, a vítima pode ser encaminhada para uma página falsa onde acaba por fornecer dados pessoais, credenciais de acesso a contas bancárias ou até por autorizar um pagamento fraudulento.

Apesar de ainda ser pouco conhecido, o Quishing está a crescer rapidamente e já motivou alertas das autoridades. Perceba como funciona esta burla, onde é mais frequente encontrá-la e o que pode fazer para proteger o seu dinheiro.

O que dizem os números sobre o aumento do Quishing?

Há poucos anos, os QR Codes eram uma ferramenta praticamente inofensiva para os criminosos. Em 2021, representavam menos de 1% das tentativas de Phishing detetadas. Em 2025, esse valor já rondava os 10% a 12%, um crescimento bastante significativo em pouco tempo.

Só em 2023 registou-se um aumento superior a 500% neste tipo de ataque. A tendência manteve-se nos anos seguintes: entre agosto e novembro de 2025, o número de e-mails fraudulentos com QR Codes multiplicou-se por cinco.

O principal motivo é simples: confiamos demasiado nos QR Codes. Estudos internacionais indicam que cerca de 73% das pessoas leem um código QR sem verificar previamente o endereço para onde este as encaminha. E é precisamente esta reação automática que os burlões exploram.

Em Portugal, a GNR já emitiu vários alertas públicos sobre o Quishing e o aviso é claro: a tendência internacional mostra que as tentativas irão aumentar.

Os primeiros casos conhecidos incluem falsas multas de estacionamento deixadas nos para-brisas de veículos em cidades como Lisboa e Porto, replicando um esquema que já fez milhares de vítimas em Espanha.

O que é o Quishing e o que o diferencia do Phishing?

A palavra “Quishing” nasce da junção de QR Code com Phishing. Na prática, é uma burla em que o criminoso esconde um endereço de internet malicioso dentro de um código QR. Quando a vítima o lê com a câmara do telemóvel, é encaminhada para uma página falsa – normalmente uma cópia quase perfeita de um site legítimo – onde acaba por introduzir dados bancários, palavras-passe ou fazer um pagamento que vai parar diretamente ao bolso do burlão.

O objetivo é o mesmo do Phishing tradicional: roubar dinheiro, dados pessoais ou credenciais de acesso. O que muda é a forma como a vítima é conduzida até à fraude.

Mas, afinal, qual é a diferença em relação ao Phishing? No Phishing clássico, o burlão envia um e-mail ou uma SMS com um link em texto. No Quishing, esse link é substituído por um código QR. E é precisamente aqui que reside a vantagem para os criminosos.

Um link escrito é relativamente fácil de analisar; um código QR não. Mesmo que um link escrito esteja disfarçado, é possível lê-lo e desconfiar. Já um código QR é apenas um padrão de quadrados, pelo que é impossível saber para onde aponta antes de o ler.

A juntar a isto, muitos sistemas anti-spam dos serviços de e-mail foram feitos para analisar texto e links escritos. Como o QR Code é uma imagem, pode passar despercebido e chegar à caixa de entrada como se fosse inofensivo. E, talvez o mais importante, o e-mail chega muitas vezes ao computador do trabalho, que está mais protegido, mas a leitura do código é feita no telemóvel pessoal, que raramente dispõe das mesmas medidas de segurança.

Como funcionam e onde acontecem as burlas com QR Codes?

O esquema é simples. O criminoso cria um código QR que aponta para um site malicioso: pode ser uma página de pagamento falsa, uma cópia do site de um banco ou um endereço que instala um vírus no telemóvel.

Depois, basta esperar que a vítima leia o código e “morda o isco”. Ao fazê-lo, é redirecionada para essa página fraudulenta e, sem se aperceber, acaba por introduzir dados pessoais, fornecer informações bancárias ou autorizar um pagamento.

Estas burlas podem surgir em vários locais e contextos do dia a dia. Entre os cenários mais comuns estão:

  • No para-brisas do carro: este é um dos esquemas mais ativos em Portugal. Os burlões deixam um papel que imita uma multa (com logótipos falsos da EMEL ou da Polícia Municipal) e incluem um QR code para “pagamento imediato com desconto”. A pressa e o susto fazem o resto;
Nota importante: em Portugal, nenhuma entidade obriga ao pagamento de uma multa exclusivamente através de um QR Code que encaminha para um site externo.
  • Nos parquímetros e postos de carregamento: existem vários casos documentados em que os burlões colam um autocolante com um código falso por cima do verdadeiro. O condutor pensa que está a pagar o estacionamento quando, na realidade, está a fornecer dados bancários aos criminosos;
  • Nos multibancos e caixas automáticas: também aqui podem ser colocados códigos QR falsos, aproveitando a confiança que os utilizadores depositam nestes equipamentos;
  • Nos menus de restaurantes e esplanadas: um código colado sobre o menu original pode encaminhar o cliente para uma página maliciosa;
  • Em cartazes de rua, folhetos e anúncios: sobretudo os que prometem prémios, Wi-Fi gratuito ou promoções imperdíveis;
  • Por e-mail ou mensagem: normalmente, o QR Code surge no corpo da mensagem ou escondido num PDF em anexo, fazendo-se passar pelo seu banco, pelos CTT, pela Autoridade Tributária ou até pelo departamento de recursos humanos da sua entidade empregadora;
  • Em encomendas inesperadas: um pacote que nunca encomendou pode incluir um QR Code para “confirmar a entrega”. Ler esse código pode ser o suficiente para comprometer os seus dados.

Tudo isto é feito com um objetivo comum: roubar dados pessoais, identidades digitais ou dinheiro. Em alguns casos, os códigos QR também servem para instalar malware (software malicioso) no telemóvel. Esse software pode espiar a atividade do utilizador, roubar palavras-passe guardadas e, nos casos mais graves, dar ao criminoso controlo sobre o dispositivo.

Como ler QR Codes de forma segura?

A boa notícia é que a melhor defesa está, em grande parte, nas suas mãos. Basta dedicar alguns segundos para confirmar que o código QR é legítimo antes de o ler. Para isso, adote estes cuidados:

  • Desconfie de códigos colados por cima de outros. Antes de ler um código num parquímetro, posto de carregamento ou cartaz, passe o dedo por cima. Se sentir um autocolante sobreposto, se o código estiver torto, mal alinhado ou com uma impressão diferente do resto do equipamento, não o leia;
  • Evite ler códigos em locais suspeitos ou isolados. Um QR Code colado sozinho num poste, a prometer prémios ou Wi-Fi gratuito, é quase sempre uma armadilha;
  • Verifique sempre o endereço antes de abrir a página. Os telemóveis atuais mostram o link antes de aceder ao site. Leia-o com atenção: os sites fraudulentos utilizam, muitas vezes, endereços semelhantes aos verdadeiros, mas com pequenos erros, letras trocadas ou terminações estranhas. Em caso de dúvida, feche a página e aceda diretamente ao site oficial;
  • Prefira a aplicação oficial ao QR Code da rua. Para pagar o estacionamento, utilizar trotinetes ou aceder a outros serviços, abra a aplicação oficial que já tem instalada em vez de ler um código afixado na rua. Esta é a forma mais segura de eliminar o risco;
  • Confirme a origem dos códigos que recebe online. Um QR Code enviado por e-mail ou mensagem inesperada, alegadamente do banco, da Autoridade Tributária ou de outra entidade, deve ser tratado com a mesma desconfiança de qualquer link suspeito. Por isso, confirme sempre pelos canais oficiais;
  • Nunca introduza dados sensíveis depois de ler um código. Se, após a leitura, a página lhe pedir dados do cartão bancário, palavras-passe ou códigos do MB Way, interrompa imediatamente o processo. Os serviços legítimos raramente solicitam este tipo de informação desta forma;
  • Mantenha o telemóvel atualizado. As atualizações do sistema operativo corrigem vulnerabilidades que podem ser exploradas pelos criminosos;
  • Ative a autenticação multifator (2FA). Sempre que possível, utilize esta camada adicional de segurança. Mesmo que a sua palavra-passe seja comprometida, o segundo fator de autenticação dificulta o acesso às suas contas.

O que fazer se cair numa burla com QR Codes falsos?

Se suspeita que leu um código QR falso e introduziu dados pessoais, informações bancárias ou efetuou um pagamento, aja o mais rapidamente possível. Nestas situações, cada minuto conta.

Siga os seguintes passos:

  1. Contacte imediatamente o seu banco. Peça o bloqueio dos cartões e dos acessos online (nomeadamente, do homebanking e MB Way) e explique o que aconteceu. Quanto mais cedo atuar, maior é a probabilidade de travar transferências ou pagamentos fraudulentos;
  1. Altere as palavras-passe. Comece pelas do banco e do e-mail, utilizando, de preferência, um dispositivo diferente e de confiança. Se suspeitar que o telemóvel foi infetado com um vírus, evite utilizá-lo até confirmar que está seguro;
  1. Guarde todas as provas possíveis. Fotografe o código ou o autocolante falso, o local onde estava, a página para a qual foi redirecionado, as mensagens recebidas e os comprovativos de pagamento. Estes elementos podem ser fundamentais para a investigação;
  1. Avise a entidade responsável pelo local. Se encontrou um código QR falso num parquímetro, restaurante ou outro estabelecimento, informe de imediato a entidade responsável para que o código seja removido e outras pessoas não sejam vítimas da mesma burla;
  1. Apresente queixa às autoridades. Por fim, dirija-se a uma esquadra da PSP ou a um posto da GNR e denuncie o sucedido. A denúncia ajuda as autoridades a acompanhar este tipo de crime e a identificar os responsáveis. Pode ainda reportar o caso no Portal da Queixa para alertar outras pessoas.

O Quishing não depende de tecnologia sofisticada. Depende, sobretudo, da distração e da confiança que depositamos nos QR Codes. A melhor forma de se proteger é simples: pare um segundo antes de os ler, confirme o destino do endereço e desconfie sempre que lhe pedirem dinheiro ou dados pessoais de forma inesperada.

Um segundo extra de atenção pode fazer toda a diferença e poupar-lhe uma enorme dor de cabeça. Afinal, é muito mais fácil prevenir uma burla do que recuperar o dinheiro e os dados depois de os perder. No final das contas, a sua conta bancária agradece.

O que achou?