Golpe do QR Code: como identificar o quishing e agir corretamente 

Hoje em dia, o uso de QR Code tem se tornado cada vez mais comum. Seja para acessar o menu de um restaurante, preencher um formulário ou fazer um pagamento via Pix, essa ferramenta prática cumpre a função de facilitar a rotina em diversos tipos de estabelecimentos e serviços.  

Mas, apesar dos diversos benefícios, esse recurso também abriu espaço para um novo tipo de fraude: o golpe do QR Code, também conhecido como quishing. 

Neste conteúdo, entenda como esse golpe funciona e o que fazer para se proteger, de acordo com o time de segurança do C6 Bank. 

Para reforçar sua segurança, é importante conferir também: 

O QR Code é uma sigla para Quick Response Code, ou "código de resposta rápida". Comum em diversos tipos de negócio ou serviço, essa funcionalidade é um tipo de código que pode armazenar diferentes informações e ser lido pela câmera do celular em poucos segundos. 

Hoje, é possível encontrar o QR Code sendo usado para diferentes finalidades, como: 

Assim, ao escanear um QR Code de pagamento, por exemplo, o aplicativo do banco interpreta as informações contidas nele e exibe os dados da transação para conferência antes da confirmação. 

Essa facilidade trouxe mais agilidade para consumidores e empresas, mas também chamou a atenção de criminosos, que passaram a utilizar códigos falsos para tentar enganar usuários e desviar pagamentos. 

O golpe do QR Code, ou quishing, acontece quando criminosos substituem um código legítimo por outro falso, com o intuito de direcionar as vítimas para pagamentos indevidos, páginas fraudulentas ou mecanismos de roubo de dados pessoais. 

Semelhante ao “phising”, golpe em que o criminoso envia links falsos por e-mail, SMS ou aplicativos, o quishing esconde o link fraudulento dentro de um QR Code, o que dificulta ainda mais a sua identificação antes do acesso.  

Apesar de ser frequentemente usado em transações financeiras, esse tipo de fraude também pode servir como um meio de capturar dados como senhas e outros tipos de informações sensíveis. Esse tipo de fraude é perigoso porque o QR Code não mostra, de maneira direta, se é verdadeiro ou falso. 

No quishing, a vítima é induzida a escanear um QR Code aparentemente legítimo. Na prática, esse golpe é realizado em quatro etapas: 

O código é programado para direcionar a vítima a um site falso ou a uma página criada para capturar informações. 

Ele pode ser enviado por e-mail, aplicativos de mensagens, redes sociais ou até mesmo aparecer em materiais impressos.

Ao usar a câmera do celular, ela é direcionada automaticamente para a página fraudulenta.

O site pode solicitar informações como login, senha, CPF, dados bancários ou códigos de autenticação. 

Uma abordagem comum se dá através do recebimento de um e-mail, que informa que existe um documento importante disponível para consulta, por exemplo. Ao invés de um link, a mensagem pode trazer um QR Code e orientar que ele seja acessado pelo celular.  

Então, ao escanear o código, uma página aparentemente legítima é apresentada, e nela, são solicitados dados pessoais. Nesse caso, a depender das informações, os criminosos podem tentar acessar contas ou até usar os dados da vítima para roubo de identidade.  

Por isso, sempre que um QR Code direcionar para uma página que peça informações pessoais ou bancárias, é importante redobrar a atenção e verificar se o endereço do site e a solicitação realmente são legítimos. 

Esse golpe costuma aparecer em situações comuns do dia a dia, especialmente em ambientes que precisam de ações rápidas e contam com pouca interação humana. Conheça alguns exemplos: 

Criminosos colam adesivos com QR Codes falsos sobre os originais. A vítima acredita estar pagando corretamente pelo serviço, mas o valor vai para outra conta. 

O QR Code pode ser usado para acessar o cardápio ou pagar a conta. Em alguns casos, os fraudadores substituem o código legítimo por outro que leva a um link de pagamento ou site malicioso. 

Essa é uma das modalidades mais associadas ao quishing. A vítima recebe uma mensagem aparentemente enviada por um banco, loja, operadora ou serviço digital, com um QR Code para acessar um documento, atualizar um cadastro ou resolver uma pendência. Ao escanear o código, é direcionada para uma página falsa. 

Promoções falsas, sorteios, brindes ou supostas oportunidades de emprego podem incluir QR Codes que direcionam para páginas fraudulentas. O objetivo costuma ser coletar dados pessoais, informações bancárias ou credenciais de acesso. 

Também são comuns mensagens informando problemas na entrega de uma encomenda, necessidade de confirmação de endereço ou pagamento de uma suposta taxa adicional. O QR Code leva a uma página fraudulenta criada para capturar dados ou realizar cobranças indevidas. 

Criminosos podem enviar contas adulteradas ou boletos falsos contendo QR Codes para pagamento via Pix. Como o código parece legítimo, a vítima pode efetuar a transferência sem perceber que o destinatário não corresponde à empresa responsável pela cobrança. 

Em alguns casos, o QR Code exibido para pagamento pode ter sido adulterado ou substituído. Por isso, antes de concluir a transação, é fundamental conferir os dados do recebedor exibidos pelo aplicativo do banco. 

No geral, locais com menor controle ou alto fluxo aumentam o risco. Por isso, atenção redobrada é essencial. 

Embora o QR Code em si não revele a fraude, existem sinais que ajudam a identificar riscos antes mesmo do escaneamento. Confira os principais: 

Esses sinais ajudam a identificar muitas tentativas de fraude. Ainda assim, a etapa mais importante acontece depois do escaneamento: a conferência dos dados exibidos antes de concluir um pagamento ou informar qualquer informação pessoal.

Sim, o pagamento por QR Code é seguro, desde que o usuário adote boas práticas. O risco não está na tecnologia em si, mas na manipulação do código. 

Quando utilizado corretamente: 

Ou seja, a segurança depende mais do comportamento do que da ferramenta. 

Adotar algumas medidas simples já reduz significativamente o risco de cair em um golpe do QR Code. O ponto aqui não é parar de usar a tecnologia, mas usar com mais consciência e atenção. Para isso, alguns cuidados simples podem ajudar a reduzir significativamente os riscos. 

Aproveite para conferir as principais dicas e como se proteger no dia a dia: 

Esse é o ponto mais importante de todos. Ao escanear o QR Code, o app do seu banco mostra quem vai receber o dinheiro. É neste ponto que você decide se a transação é segura. Verifique com atenção: 

Se o destinatário não corresponder ao estabelecimento ou serviço contratado, interrompa o pagamento e procure confirmar as informações por outro canal.

Seja em ambientes físicos ou digitais, sempre que possível, use QR Codes fornecidos diretamente pela empresa ou estabelecimento. Boas práticas incluem: 

Evitar QR Codes recebidos de fontes desconhecidas ou de aparência irregular. 

No restaurante, por exemplo, um QR Code fixo na mesa pode ser mais vulnerável do que um gerado na hora pelo sistema. Já na internet, essa atenção é especialmente importante em redes sociais, grupos de mensagens e anúncios patrocinados. 

Golpes quase sempre vêm acompanhados de pressa. Frases como as apresentadas na sequência são sinais de alerta: 

Sempre que uma solicitação parecer urgente demais, reserve alguns instantes para verificar sua autenticidade antes de prosseguir. 

Locais muito movimentados ou com pouca supervisão aumentam o risco. Fique mais atento em totens de autoatendimento, espaços ou áreas públicas, por exemplo.  

Nesse caso, quanto menor o controle do ambiente, maior a necessidade de atenção. 

Golpistas frequentemente utilizam QR Codes para criar senso de urgência em situações do cotidiano. Fique atento a mensagens que informam: 

Antes de escanear qualquer código, confirme a informação diretamente com a empresa responsável.

Se algo parecer estranho, não insista na operação. A depender da situação, é possível: 

Trocar o meio de pagamento pode parecer um detalhe, mas é exatamente o tipo de decisão que evita golpes. 

Se você suspeitar que foi vítima de um golpe com QR Code, agir rápido pode ajudar a reduzir os prejuízos. Como as medidas podem variar de acordo com a abordagem do golpe, entenda como agir em cada situação: 

1. Entre em contato com o banco imediatamente; 2. Informe que a transação pode estar relacionada a uma fraude; 3. Solicite a análise do caso e verifique a possibilidade de acionamento do Mecanismo Especial de Devolução (MED); 4. Guarde comprovantes, capturas de tela e demais evidências da operação; 5. Registre um boletim de ocorrência. 

1. Altere imediatamente as senhas das contas afetadas; 2. Troque também as senhas de outros serviços que utilizem a mesma combinação; 3. Ative a autenticação em dois fatores, caso ainda não utilize esse recurso; 4. Verifique se houve acessos suspeitos às suas contas. 

1. Monitore movimentações bancárias e atividades incomuns em suas contas; 2. Fique atento a contatos suspeitos utilizando suas informações; 3. Informe a empresa ou instituição que foi usada indevidamente pelos golpistas; 4. Guarde registros da fraude para eventual necessidade de contestação ou investigação. 

Independentemente do tipo de golpe, quanto mais rápido você agir, maiores são as chances de minimizar os impactos e evitar novos prejuízos. 

O app do C6 Bank oferece recursos que ajudam a reduzir riscos no uso do Pix com QR Code. Confira os principais pontos: 

Esses recursos ajudam o cliente a tomar decisões mais seguras no momento do pagamento. 

Se ainda restam dúvidas sobre o tema, confira aqui algumas das questões mais comuns: 

Não é possível identificar apenas olhando o código. O principal é verificar os dados do recebedor antes de confirmar o pagamento. 

Sim, desde que você confirme as informações exibidas no app antes de finalizar a transação. 

Sim. O sistema conta com mecanismos como autenticação e o MED, que pode ajudar na recuperação de valores. 

Não necessariamente. Muitas empresas utilizam QR Codes em comunicações legítimas. O importante é verificar a origem da mensagem e desconfiar de solicitações inesperadas, especialmente quando envolvem pagamentos, atualização de dados cadastrais ou acesso a contas. 

Na maioria dos casos, o golpe acontece quando a vítima realiza um pagamento ou fornece informações em uma página fraudulenta acessada por meio do QR Code. Ainda assim, é importante ter cautela, pois alguns códigos podem direcionar para sites maliciosos ou induzir o download de arquivos suspeitos. 

Gostou do conteúdo? Aproveite para ler outros que possam reforçar a sua segurança: 

Informações sobre os produtos e serviços do C6 Bank vigentes na data da postagem deste texto. As regras e condições de cada produto e/ou serviço podem ser posteriormente alteradas. Consulte os termos vigentes no momento da contratação pelo app.