Fraude do "quishing" utiliza adesivos sobre códigos QR para roubar dados e instalar malwares
O "quishing" consiste na substituição de QR codes reais por etiquetas maliciosas em locais públicos para direcionar usuários a sites fraudulentos. A técnica utiliza encurtadores de links para roubar dados financeiros, acessar permissões do aparelho ou instalar malwares. Especialistas recomendam a inspeção física dos códigos e o uso de câmeras que exibam a prévia da URL
A popularização dos códigos QR em pagamentos, menus e serviços digitais abriu caminho para a expansão do "quishing", uma modalidade de fraude que substitui códigos legítimos por versões maliciosas. A técnica consiste em colar etiquetas adesivas sobre QR codes reais em locais públicos, como totens de carregamento, cardápios de restaurantes e parquímetros, induzindo o usuário a acessar sites fraudulentos que simulam plataformas oficiais de pagamento.
Diferente dos links de texto, onde a URL pode ser verificada antes do clique, o código visual mascara o destino final. Para dificultar a detecção por filtros de segurança automáticos e evitar o bloqueio de páginas de phishing, os criminosos utilizam encurtadores de links para esconder endereços suspeitos.
O impacto dessas ações vai além do roubo de credenciais bancárias e dados financeiros. A interação com esses códigos pode forçar o smartphone a conceder permissões de acesso ao microfone, à câmera e à lista de contatos. Em cenários mais críticos, a abertura do site inicia o download silencioso de malwares que permitem o monitoramento remoto do dispositivo por tempo indeterminado, possibilitando a invasão de redes corporativas e aparelhos pessoais.
Para mitigar os riscos, a recomendação é realizar a inspeção física do código antes da leitura, observando se há sobreposições de adesivos ou impressões de baixa qualidade. O uso do aplicativo de câmera nativo do celular é indicado, pois geralmente exibe uma prévia do link antes de abrir o navegador. Outra medida preventiva é evitar a transferência de dados sensíveis ou pagamentos via códigos em locais de alta circulação e sem supervisão.
Como empresas legítimas raramente solicitam senhas ou logins imediatamente após o escaneamento, a orientação é digitar manualmente o endereço oficial da instituição no navegador em caso de dúvida. Enquanto plataformas de segurança desenvolvem scanners inteligentes para analisar a reputação de sites em tempo real, instituições financeiras e comércios passam a adotar capas protetoras ou camadas extras de verificação para impedir a adulteração física dos códigos.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F49a%2Fae8%2F425%2F49aae8425f427afb0aa5b2fc7649d90e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F080%2Fee4%2F70f%2F080ee470f102655c9d0d4cce9109ca11.jpg)