Segurança Digital · Phishing

Golpe do QR Code falso (quishing): como identificar, agir e recuperar o dinheiro

Resposta rápida

Quishing é o golpe em que um QR Code malicioso substitui ou imita um legítimo para roubar dados ou redirecionar pagamentos. Antes de escanear, verifique se há adesivo colado sobre o original, confira o link e o nome do recebedor antes de confirmar qualquer Pix. Se já pagou, registre boletim de ocorrência e abra o Mecanismo Especial de Devolução (MED) no seu banco em até 80 dias.

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.

Sinais de alerta

  • Há um adesivo de QR Code colado por cima do original em maquininha, totem de estacionamento ou cardápio.
  • O nome do recebedor do Pix não corresponde ao estabelecimento, à empresa ou à pessoa que você esperava pagar.
  • O QR Code chegou por e-mail, SMS ou WhatsApp pedindo urgência para regularizar boleto, multa ou entrega.
  • Ao escanear, o link encurtado ou com domínio estranho pede login, senha, dados de cartão ou instalação de aplicativo.
  • O valor exibido após a leitura é diferente do combinado, está editável ou foi gerado para um beneficiário desconhecido.
  • A página aberta copia o visual do banco ou da loja, mas o endereço no navegador não é o site oficial da instituição.

Passo a passo — o que fazer

  1. 1

    1. Pare e não confirme o pagamento

    Se o QR Code abriu uma cobrança inesperada ou um login, não confirme nada. Feche a tela. No Pix, a confirmação final mostra nome e CPF/CNPJ do recebedor; se não bate com quem você quer pagar, cancele imediatamente, pois após a confirmação a transferência é instantânea e irreversível por padrão.

  2. 2

    2. Reúna as provas

    Tire prints da tela de pagamento, do QR Code, do comprovante, do nome do recebedor e da conversa ou e-mail que continha o código. Anote data, horário, valor e o local físico se o QR estava em maquininha, totem ou cartaz. Essas evidências são essenciais para o banco e para a polícia.

  3. 3

    3. Acione o banco e abra o MED

    Contate seu banco pelos canais oficiais (aplicativo ou central que está no verso do cartão) e solicite o Mecanismo Especial de Devolução do Pix por fundada suspeita de fraude. O pedido deve ser feito em até 80 dias da transação. O banco recebedor tem até 7 dias corridos para analisar e, se houver saldo, devolver os valores.

  4. 4

    4. Registre boletim de ocorrência

    Faça o boletim de ocorrência, preferencialmente na delegacia eletrônica do seu estado ou em uma delegacia especializada em crimes cibernéticos. O B.O. formaliza a fraude, ajuda na análise do MED e é exigido por seguros e por eventuais ações de contestação.

  5. 5

    5. Troque senhas e revise acessos

    Se você digitou senha, dados de cartão ou login em uma página aberta pelo QR, troque imediatamente a senha do serviço afetado e a do e-mail vinculado. Ative a verificação em duas etapas. Se informou dados do cartão, peça o bloqueio e a emissão de um novo ao banco.

  6. 6

    6. Avise o estabelecimento e o Procon

    Se o adesivo falso estava em uma loja, estacionamento ou restaurante, comunique o responsável para que ele remova o adesivo e alerte outros clientes. Em caso de cobrança indevida ou recusa de solução, registre reclamação no Procon do seu estado e no portal consumidor.gov.br.

  7. 7

    7. Notifique o CERT.br e denuncie a página

    Reporte a fraude ao CERT.br ([email protected]) para que o domínio malicioso possa ser tratado. Denuncie o link falso ao Google Safe Browsing e marque mensagens como golpe no WhatsApp, no e-mail e no provedor do encurtador, reduzindo o alcance do golpe.

  8. 8

    8. Monitore conta e movimentações

    Acompanhe extratos, faturas e notificações nos dias seguintes. Configure alertas de transação no aplicativo do banco e, se temer uso indevido do seu CPF, considere consultar e monitorar seu nome em birôs de crédito para identificar contas ou financiamentos abertos em seu nome.

O que NÃO fazer

  • Não escaneie QR Codes recebidos por e-mail, SMS ou WhatsApp para regularizar boletos, multas ou entregas sem confirmar pelo canal oficial.
  • Não confirme um Pix sem ler o nome e o CPF/CNPJ do recebedor na tela final do aplicativo do seu banco.
  • Não digite senhas, dados de cartão ou códigos de banco em páginas abertas por um QR Code.
  • Não confie no visual: logotipos, cores e nomes de empresas são facilmente copiados em páginas e adesivos falsos.
  • Não instale aplicativos sugeridos após escanear um QR; baixe apps apenas pelas lojas oficiais.

O que é quishing e por que o QR Code é um alvo fácil

Quishing é a junção de QR Code com phishing. O golpe usa um código falso para levar a vítima a um site fraudulento, a um pagamento desviado ou ao download de um aplicativo malicioso. Como o QR Code é apenas uma imagem que esconde um link ou um código de pagamento, é impossível saber para onde ele leva sem escanear, e é exatamente isso que os criminosos exploram.

A técnica ganhou força porque o QR Code virou rotina: pagar com Pix, abrir cardápio, liberar estacionamento, validar entradas de eventos. Esse hábito reduz a desconfiança. O usuário aponta a câmera quase no automático, e o golpe se aproveita dessa confiança para inserir um destino que não é o esperado.

Os formatos mais comuns no Brasil são três. O adesivo malicioso colado sobre um QR legítimo em maquininhas, totens de estacionamento e cardápios. O QR enviado por e-mail ou mensagem dentro de um falso boleto, multa ou aviso de entrega. E o QR de Pix que exibe um recebedor diferente do estabelecimento real, desviando o pagamento para a conta do criminoso.

Como identificar um QR Code falso antes de pagar

A inspeção física é o primeiro filtro. Em maquininhas, totens e cardápios, verifique se há um adesivo colado por cima de outro, bordas soltas, papel diferente do material original ou um código posicionado de forma estranha. Na dúvida, peça ao funcionário o QR oficial ou pague digitando a chave Pix do estabelecimento manualmente.

No Pix, a tela de confirmação do seu banco sempre mostra o nome e o CPF ou CNPJ de quem vai receber. Esse é o ponto de verificação decisivo: se o recebedor não corresponde ao estabelecimento, à empresa ou à pessoa que você pretende pagar, interrompa. Desconfie também de valores que vêm preenchidos de forma editável ou diferentes do combinado.

Quando o QR chega por mensagem ou e-mail, trate-o como um link suspeito. Boletos, multas e avisos de entrega legítimos podem ser conferidos diretamente no site ou aplicativo oficial da instituição, sem depender do código recebido. A pressa e a ameaça de bloqueio ou cobrança são táticas de engenharia social para que você aja sem pensar.

Ao escanear, observe o endereço antes de prosseguir. Domínios encurtados, com erros de digitação, subdomínios longos ou que não pertencem à instituição são sinais claros. Páginas que pedem login, senha ou dados de cartão logo após a leitura quase nunca são legítimas.

Cuida da segurança de uma empresa?

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

Já paguei ou cliquei: como recuperar com o MED

Se o pagamento foi por Pix, o caminho principal é o Mecanismo Especial de Devolução (MED), criado pelo Banco Central para casos de fraude e falha operacional. Você aciona seu próprio banco, que comunica o banco do recebedor a bloquear e devolver os valores quando houver fundada suspeita de golpe. O pedido precisa ser feito em até 80 dias da transação.

A devolução depende de o dinheiro ainda estar na conta do recebedor. Por isso, agir rápido aumenta as chances: golpistas costumam esvaziar a conta em minutos. O banco recebedor tem prazo de até 7 dias corridos para analisar o caso e efetuar a devolução do que for localizado. Não há garantia de recuperação total, mas o registro é indispensável.

Se você apenas digitou dados em uma página falsa, sem transferir dinheiro, o foco muda para contenção: troque senhas, ative verificação em duas etapas, bloqueie cartões expostos e monitore movimentações. Registre o boletim de ocorrência de qualquer forma, pois ele formaliza a fraude e ampara contestações futuras.

Guarde todos os comprovantes e protocolos. Se o banco negar a devolução ou houver cobrança indevida ligada ao golpe, você pode escalar pela ouvidoria da instituição, registrar reclamação no Banco Central, recorrer ao Procon e ao consumidor.gov.br, e, em última instância, buscar o Juizado Especial Cível.

Do golpe pessoal ao risco corporativo: quishing como vetor de ataque

O quishing não atinge só a pessoa física. Ele é hoje um vetor relevante de phishing corporativo. Criminosos enviam e-mails com QR Codes que escapam de filtros tradicionais, porque a imagem não contém o link em texto, e induzem o funcionário a escanear pelo celular pessoal, fora da proteção da rede da empresa.

Os cenários se multiplicam no ambiente de trabalho: QR Codes em falsos comunicados de RH, em crachás e badges de eventos e feiras, em cartazes de estacionamento corporativo, ou simulando páginas de login do e-mail e de sistemas internos para roubar credenciais. Um único acesso comprometido pode abrir caminho para fraudes maiores e vazamento de dados.

A mesma higiene digital que protege a pessoa física protege a organização: desconfiar de QR Codes não solicitados, verificar o destino antes de inserir credenciais, separar o uso pessoal do corporativo e relatar tentativas ao time de segurança. Treinar pessoas e monitorar domínios e marcas falsas reduz a superfície de ataque.

Como a Decripte ajuda pessoas e empresas a se protegerem

A Decripte é uma empresa brasileira de cibersegurança B2B que atende organizações de todos os portes, de pequenos negócios a operações com mais de 100.000 colaboradores. Atuamos para que o conhecimento que protege o usuário no dia a dia se traduza em defesa estruturada para a empresa.

Nossa Gestão de Ameaças monitora exposições, domínios e marcas falsas usadas em campanhas de phishing e quishing, ajudando a identificar páginas que se passam pela sua organização antes que cheguem a clientes e colaboradores. Oferecemos um plano gratuito de Gestão de Ameaças para você começar a enxergar seus riscos sem custo inicial.

Combinada a treinamento de conscientização e a processos claros de resposta, essa visibilidade encurta o tempo entre o surgimento de uma fraude e a reação da empresa. Quanto antes um QR ou domínio malicioso é detectado, menor o impacto sobre pessoas e negócios.

Termos importantes

Quishing
Golpe que usa QR Codes maliciosos para direcionar a vítima a sites falsos, pagamentos desviados ou downloads de malware. O nome combina QR Code com phishing.
MED (Mecanismo Especial de Devolução)
Ferramenta do Banco Central que permite ao banco da vítima solicitar ao banco do recebedor o bloqueio e a devolução de valores pagos por Pix em casos de fraude ou falha operacional, com pedido em até 80 dias.
Phishing
Técnica de engenharia social em que o criminoso se passa por uma instituição confiável para enganar a vítima e obter dados, senhas ou pagamentos. O quishing é uma de suas variantes.
Engenharia social
Conjunto de táticas que manipulam o comportamento humano, como senso de urgência, medo e confiança, para induzir a vítima a agir contra o próprio interesse.

Perguntas frequentes

O que é o golpe do QR Code falso (quishing)?

É a fraude em que um QR Code malicioso substitui ou imita um legítimo para levar a vítima a um site falso, a um pagamento desviado ou ao download de um aplicativo malicioso. Combina QR Code com phishing, daí o nome quishing.

Como saber se um QR Code de Pix é falso?

Confira sempre a tela final de confirmação do seu banco: ela mostra o nome e o CPF ou CNPJ do recebedor. Se não corresponde ao estabelecimento ou pessoa que você quer pagar, ou se o valor está editável ou diferente do combinado, não confirme.

Paguei um Pix por um QR Code falso. Consigo recuperar o dinheiro?

Pode ser possível pelo Mecanismo Especial de Devolução (MED). Acione seu banco imediatamente alegando fraude; o pedido deve ser feito em até 80 dias. A devolução depende de o dinheiro ainda estar na conta do golpista, por isso a rapidez é decisiva.

Qual é o prazo para abrir o MED?

O pedido de devolução pelo MED pode ser feito em até 80 dias contados da data da transação. O banco recebedor tem até 7 dias corridos para analisar o caso e devolver os valores que ainda estiverem disponíveis na conta.

Recebi um boleto com QR Code por e-mail. É seguro pagar?

Trate com cautela. Não escaneie o QR recebido por e-mail ou mensagem. Confira o boleto diretamente no site ou aplicativo oficial da empresa ou do banco emissor, e verifique o beneficiário antes de pagar.

Escaneei o QR e digitei minha senha. O que faço agora?

Troque imediatamente a senha do serviço afetado e do e-mail vinculado, ative a verificação em duas etapas e, se informou dados de cartão, peça o bloqueio ao banco. Registre boletim de ocorrência e monitore suas contas.

Onde denuncio um QR Code ou página fraudulenta?

Reporte ao CERT.br ([email protected]), denuncie o link ao Google Safe Browsing, registre boletim de ocorrência na delegacia eletrônica e, em caso de cobrança indevida, acione o Procon e o portal consumidor.gov.br.

O quishing também é risco para empresas?

Sim. QR Codes maliciosos chegam por e-mail driblando filtros, aparecem em crachás de eventos, falsos comunicados de RH e cartazes, e simulam logins de sistemas internos para roubar credenciais. É um vetor crescente de phishing corporativo.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.