Quantcast
DicasFinanças

Cuidado com os QR Codes: pode ser quishing!

By
22 de Abril, 2026
quishing

Depois de nos habituarmos ao phishing, aos malwares e a tantos outros perigos online, eis que chegou mais uma ameaça: o quishing.

Os Códigos QR, QR Codes na sua versão original, estão a tornar-se parte da nossa rotina online e até da nossa rotina fora do domínio digital em locais como parques de estacionamento, cartazes ou restaurantes, mas isso abriu porta a um fenómeno chamado “quishing”

Ao abrir um código QR para pagar uma conta no bar ou aceder a um menu, não só estará a simplificar a sua vida, como a abrir um caminho para um site falso, para um pedido de login fraudulento ou para a instalação de software malicioso.

O problema não é o código QR, mas o destino para o qual ele o encaminha e assim se daá o quishing.

Quishing: o que é?

O quishing é um parente do phishing, mas que é feito com recurso a códigos QR.

Isto é, um burlão adltera um código QR e a vítima é levada a apontar a câmara do telemóvel para esse código aparentemente legítimo.

A diferença do quishing par o phishing é que no primeiro a vítima tem mais hipóteses de estranhar um link suspeito ao passo que, no segundo, o código parece neutro, moderno e inofensivo. 

Contudo, esse código conduz a uma página criada para roubar credenciais, dados bancários ou outras informações pessoais.

Em alguns casos, o quishing também poderá encaminhar a vítima para descarregamentos maliciosos ou abrir páginas que imitam serviços reais.

Apesar de as autoridades estarem alerta, esta forma de burla digital apresenta características que a tornam especialmente difícil de detetar e contornar. 

Segundo o NCSC (National Cyber Security Centre) britânico e a ENISA (European Network and Information Security Agency), os códigos QR conseguem esconder links maliciosos dentro de imagens e escapar mais facilmente à deteção inicial.

Como funciona o quishing na prática?

Como já afloramos, o quishing é, na sua base, extremamente simples. Por exemplo, burlão colar um autocolante com um QR falso por cima do verdadeiro num parquímetro, numa ementa digital ou num cartaz promocional.

Quem fizer o scan desse código irá estar, sem o saber, a ser redirecionado para uma página que pede dados de cartão, credenciais bancárias ou um pagamento imediato que, posteriormente, ficam nas mãos do burlão.

Já em contexto online, o código QR adulterado poderá surgir num email que imita um banco, uma plataforma de assinaturas, uma transportadora ou um pedido de validação de conta.

Ao digitalizar esse código, a vítima é então reencaminhada para um site fraudulento.

Sinais de alerta

Ainda que a prática do quishing seja difícil de detetar, há alguns sinais de alerta que lhe devem levantar suspeitas, tais como:

  • Um código sobreposto a outro;
  • Autocolante mal colado;
  • QR fora de contexto ou um pedido urgente de pagamento são indícios relevantes;
  • Mensagens inesperadas, erros ortográficos, promessas exageradas ou páginas que pedem logo dados sensíveis sem explicação clara;
  • Endereços estranhos ou encurtados quando o link é revelado após o scan;
  • Códigos QR enviados por email ou SMS sem contexto claro;
  • Pedidos de login ou pagamento imediato após a leitura do código.

Além disto, desconfie sempre que o acesso ao código QR é urgente, como por exemplo uma suposta multa para pagar de imediato, um aviso de conta bloqueada ou um documento que tem de ser validado “já”.

Para ajudá-lo a precaver-se contra estas práticas, recomendamos que recorra a aplicações de leitura de QR que permitem visualizar o endereço antes de abrir a página, sinalizam ligações potencialmente perigosas, que fazem uma verificação de segurança e ajudam a identificar links suspeitos antes de qualquer interação.

Lembre-se, a proteção começa antes de tocar no link, isto é, deve conseguir ver o endereço antes de o abrir e nunca avançar por impulso.

Caso o domínio parecer estranho, tiver letras trocadas ou não corresponder à entidade esperada, o mais seguro é não continuar.

Pode, igualmente, configurar o seu telemóvel para o impedir que abra automaticamente os links associados a códigos QR.

Como ajustar rapidamente no telemóvel:

  • iPhone (iOS): Definições > Câmara > ativar “Ler códigos QR” (o link não abre automaticamente).

  • Android: Definições da Câmara ou Google Lens > desativar abertura automática de URLs.

Leu um código suspeito, e agora?

Caso tenha feito o scan de um código QR malicioso, mas ainda não introduziu dados, feche a página de imediato, saia do navegador e evite qualquer interação adicional.

Se já descarregou ficheiros ou instalou algo, o melhor a fazer é desligar a ligação à internet, correr uma verificação de segurança e atualizar palavras-passe em contas críticas, sobretudo email e banca digital.

Atenção, se existirem dados bancários envolvidos, deve contactar o banco de imediato.

Deve, igualmente, apresentar queixa à Polícia Judiciária, incluindo por via eletrónica e, caso código o QR esteja num espaço físico, convém ainda alertar o estabelecimento ou a entidade responsável para evitar novas vítimas.

Share:
Related posts
FinançasFinanças PessoaisNacional

Mais-valias: saiba quem está isento de IRS

By
15 de Abril, 2026
FinançasSeguros

Proteção de Dados na Mediação de Seguros: Dúvidas & Respostas

By
13 de Abril, 2026
FinançasFinanças PessoaisNacional

IRS: guia para declarar rendimentos das categorias A e B

By
7 de Abril, 2026
CréditosFinançasFinanças PessoaisSeguros

Seguro de Proteção ao Crédito o que é e o que oferece?

By
31 de Março, 2026