GuiaNacho G.8 min de leitura

Codigos QR Sao Seguros para Escanear? Riscos Reais

Codigos QR sao seguros? O codigo em si nao pode te prejudicar, mas o destino pode. Conheca os riscos reais, os mitos e como escanear com seguranca.

Codigos QR Sao Seguros para Escanear? Riscos Reais

Este artigo foi escrito pela equipe da QR Nova. Desenvolvemos software de codigos QR, o que pode influenciar nossa perspectiva.

Artigos sobre seguranca de QR codes se dividem em dois campos: alertas paranoicos que sugerem nunca escanear nada, e garantias levianas de que QR codes sao "apenas links". Ambos erram o alvo. QR codes sao seguros para escanear da mesma forma que clicar em um link e seguro, o codigo em si nao pode prejudicar seu dispositivo, mas o destino para o qual ele direciona pode. O modelo de ameaca real e especifico, os riscos sao reais em contextos definidos e evita-los leva cerca de 10 segundos de bom senso por leitura.

Resumo rapido

  • Escanear um QR code nao pode, por si so, instalar malware ou roubar dados, e equivalente a digitar uma URL.
  • O risco e o destino: sites de phishing, downloads maliciosos e roubo de credenciais via paginas de pagamento falsas.
  • Phishing com QR code (quishing) e um vetor de ataque documentado e crescente, o FBI alertou formalmente em janeiro de 2024.
  • Adulteracao fisica (adesivos sobre codigos legitimos) e o ataque real mais comum; QR codes digitais em emails sao o vetor de spam/phishing mais comum. Saiba mais sobre como QR codes podem ser hackeados.
  • A maioria das leituras de QR code, cardapios de restaurante, embalagens de produtos, cartoes de visita, apresenta risco real negligenciavel.

Codigos QR sao seguros?

Generate your first QR code — free

Comecar

Um QR code e um padrao legivel por maquina que codifica texto, geralmente uma URL, mas potencialmente qualquer string curta de dados. Quando seu celular o escaneia, a camera decodifica o padrao e apresenta o texto. Neste ponto, nada prejudicial aconteceu. O QR code em si nao tem componente executavel, nenhuma carga util, nenhuma capacidade de executar codigo no seu dispositivo.

O risco comeca quando seu celular age sobre esse texto decodificado. Se o QR code codifica uma URL e seu celular a abre automaticamente, voce navegou para essa URL, e tudo que pode dar errado ao visitar uma URL maliciosa pode dar errado agora. Isso e equivalente a clicar em um link de um email de remetente desconhecido.

Entender essa distincao determina a resposta correta. Voce nao esta se protegendo de QR codes. Voce esta se protegendo do que eles apontam.

A ameaca real: quishing (phishing com QR code)

Quishing, phishing com QR code, e o principal vetor de ataque documentado envolvendo QR codes, e esta crescendo. A Divisao Cibernetica do FBI emitiu um alerta formal em janeiro de 2024 avisando que cibercriminosos estao "adulterando QR codes fisicos e digitais para redirecionar vitimas a sites maliciosos".

A mecanica e direta. Atacantes sabem que a maioria dos gateways de seguranca de email escaneia hyperlinks em busca de dominios maliciosos conhecidos, mas nao analisa imagens incorporadas. Ao colocar um QR code em um email de phishing em vez de um hyperlink, eles burlam as defesas de varredura de links. A vitima escaneia com o celular, geralmente um dispositivo pessoal nao coberto pelo software de seguranca corporativa, e cai em uma pagina de roubo de credenciais.

De acordo com um relatorio de inteligencia de ameacas da Hoxhunt de 2024, ataques de phishing com QR code aumentaram 587% no primeiro semestre de 2024 em comparacao ao mesmo periodo de 2023. Isso nao e teorico. E um padrao de ataque ativo e documentado.

O golpe do parquimetro: quishing fisico no mundo real

O quishing fisico ataca locais de alto trafego e baixa supervisao. O padrao mais documentado em 2023-2024 foi QR codes falsos de pagamento de estacionamento. Atacantes colocaram adesivos sobre QR codes de pagamento legitimos em parquimetros de cidades como Austin, San Antonio e Houston (reportado pelo Departamento de Policia de Austin em fevereiro de 2023). Vitimas escanearam o codigo do adesivo, inseriram dados do cartao de credito em uma pagina de pagamento falsa convincente e nao pagaram nada enquanto seus dados de cartao eram roubados.

Esse ataque funciona porque parquimetros sao infraestrutura urbana que a maioria das pessoas nao inspeciona de perto antes de escanear. Distinguir um adesivo aplicado sobre um codigo existente do original exige verificar fisicamente se o codigo esta elevado ou tem bordas visiveis. A maioria das pessoas nao faz isso.

Como saber se um QR code e seguro para escanear

Voce nao consegue verificar definitivamente a seguranca de um QR code antes de escanea-lo, esse e o desafio fundamental. Mas pode reduzir substancialmente o risco com alguns habitos.

Use um scanner de QR que pre-visualiza a URL

Saber como escanear um QR code com seguranca comeca pelo seu app de scanner. Os apps de camera padrao no iOS e Android abrem URLs automaticamente apos uma breve exibicao. A maioria dos usuarios nao le a pre-visualizacao. Um app dedicado de scanner QR (Kaspersky QR Scanner, Trend Micro QR Scanner ou similar) mostra a URL completa e pede confirmacao antes de abrir. Isso te da uma chance de ler o dominio antes de prosseguir.

Sinais de alerta na pre-visualizacao da URL: dominios desconhecidos, dominios que escrevem errado marcas conhecidas (paypa1.com, arnazon.com), encurtadores de URL (bit.ly, tinyurl.com) que escondem o destino real e URLs HTTP (nao HTTPS).

Inspecione codigos fisicos em busca de adulteracao

Para QR codes em espacos publicos, especialmente os relacionados a pagamento (estacionamento, maquinas de venda, transporte), verifique se o codigo:

  • Faz parte do material impresso original (integrado ao design, nao adicionado depois)
  • Esta rente a superficie, sem bordas elevadas ou emenda de adesivo
  • Combina em estilo com o material ao redor

Se alguma dessas verificacoes falhar, trate o codigo como potencialmente comprometido. Para codigos de pagamento, procure um endereco de site oficial ou numero de telefone na maquina e use isso para pagar.

O contexto e o melhor previsor de risco

O perfil de risco de uma leitura de QR code se correlaciona fortemente com como e onde ele apareceu:

  • Baixo risco: Embalagens de produtos de marcas conhecidas, cardapios de restaurantes impressos e laminados pelo restaurante, cartoes de visita de uma pessoa que voce acabou de conhecer, crachas de eventos e ingressos, QR codes em varejo fisico de lojas estabelecidas.
  • Risco medio: QR codes em newsletters de empresas nas quais voce se cadastrou, QR codes em panfletos em espacos publicos, codigos em notas escritas a mao.
  • Alto risco: QR codes em emails ou mensagens nao solicitados (especialmente alegando urgencia), codigos em emails se passando pelo seu banco ou empregador, codigos em parquimetros ou quiosques de pagamento publicos com sobreposicao de adesivo, codigos prometendo presentes ou premios gratis.

O que nao pode dar errado ao escanear um QR code

Esclarecer ameacas falsas e tao util quanto identificar as reais. Apesar do que alguns artigos de seguranca implicam, essas coisas nao podem acontecer ao escanear um QR code:

  • Instalacao de malware automatica: Escanear o padrao e fazer seu celular decodifica-lo para uma URL nao instala malware. Isso requer uma vulnerabilidade do navegador, manter o sistema operacional do celular atualizado e a mitigacao.
  • Exploracao de Bluetooth ou NFC via QR code: QR codes nao podem acionar emparelhamento Bluetooth, pagamentos NFC ou acoes em nivel de sistema sem confirmacao explicita do usuario no iOS e Android modernos.
  • Acesso direto a camera ou ativacao de microfone: Ler um QR code nao concede ao site permissao para acessar sua camera ou microfone. Concessoes de permissao ainda exigem acao explicita do usuario.
  • Troca de SIM ou invasao de conta apenas por uma leitura: Um QR code pode te levar a uma pagina de phishing que te engana para inserir credenciais ou aprovar uma acao, mas o QR code em si nao pode executar isso.

QR codes em emails: o vetor de risco mais comum

Por volume, QR codes em emails sao o contexto de leitura de maior risco para a maioria das pessoas. O padrao: um email parece vir do seu banco, servico de entrega ou empregador. Contem um QR code e pede para voce "verificar sua conta", "confirmar uma entrega" ou "aprovar uma solicitacao de login". O QR code leva a uma pagina de phishing convincente.

O ponto-chave a lembrar: servicos legitimos quase nunca exigem que voce escaneie um QR code para realizar uma acao rotineira de conta. Bancos enviam links, nao QR codes, para login ou verificacao. Servicos de entrega enviam links de rastreamento. Se um QR code em um email cria urgencia ("escaneie em 24 horas ou sua conta sera suspensa"), esse e o padrao de ataque, nao um comportamento de servico legitimo.

A orientacao da FTC sobre golpes com QR code (publicada em fevereiro de 2024) sinaliza isso especificamente: "Golpistas escondem links prejudiciais em QR codes para roubar informacoes pessoais." A orientacao deles reflete esse framework, a leitura em si nao e o dano, o destino e.

Quando a seguranca de QR code nao e uma preocupacao

A grande maioria das leituras de QR code na vida cotidiana apresenta risco negligenciavel. Escanear um QR code em um restaurante para ver o cardapio, conectar ao WiFi de um negocio via QR code, obter detalhes de contato de um cartao de visita ou escanear um produto para mais informacoes, esses sao contextos de baixo risco onde o criador do codigo e conhecido (o restaurante, o negocio, o fabricante) e o destino e previsivel.

Confianca contextual e o filtro: voce sabe quem criou este QR code, e o contexto torna plausivel que o codigo leve a algum lugar legitimo? Se sim, escaneie. Se a resposta a qualquer uma das perguntas for nao, reserve um segundo para pre-visualizar a URL antes de abri-la.

Criando QR codes seguros para outros escanearem

Se voce esta criando QR codes para seu negocio, eventos ou materiais, a questao de seguranca vai na direcao oposta: como garantir que as pessoas que escaneiam seus codigos confiem neles?

Tres passos praticos:

  1. Use codigos estaticos quando possivel: Codigos estaticos codificam seu destino diretamente, nao ha redirecionamento por servidor de terceiros que possa ser comprometido ou assumido. Um QR code estatico no gerador de WiFi do seu negocio e tao confiavel quanto o material fisico em que esta impresso.
  2. Para codigos dinamicos, use um dominio personalizado: Se seu QR code redireciona por suamarca.com/qr/abc em vez de qr-platform.com/abc123, quem escaneia pode reconhecer seu dominio na pre-visualizacao da URL e confiar mais facilmente.
  3. Nao use cadeias de redirecionamento: Cada salto de redirecionamento entre seu QR code e o destino adiciona risco potencial e reduz a transparencia de para onde a leitura esta indo.

QR codes criados no QR Nova para casos de uso estaticos sao tao seguros quanto possivel, o destino e codificado diretamente, nao ha redirecionamento de terceiros e nao ha nada para um atacante comprometer entre o codigo e seu destino. QR codes de cartao de visita e codigos WiFi gerados aqui sao estaticos por definicao.

Conclusao honesta

QR codes sao seguros para escanear quando voce sabe quem os criou e onde voce esta. Nao sao inerentemente seguros quando chegam nao solicitados por email ou quando aparecem em infraestrutura de pagamento ao ar livre onde adulteracao e possivel. Esse e o mesmo calculo de risco que voce aplica ao clicar em links, QR codes apenas tornam a fonte um pouco mais opaca.

A resposta apropriada nao e paranoia. A maioria das leituras de QR code e completamente benigna. Aplique o mesmo bom senso situacional que voce aplica a links: considere a fonte, pre-visualize antes de agir e pause quando algo criar urgencia.

Perguntas frequentes

Escanear um QR code pode dar virus no celular?

Escanear o QR code em si nao instala malware, sua camera apenas le um padrao e o converte em texto. O risco e o que acontece depois: se a URL decodificada leva a um site malicioso que explora uma vulnerabilidade do navegador ou te engana para baixar algo, e ai que o dano ocorre. O QR code e um mecanismo de entrega, nao a ameaca em si.

O que e phishing com QR code (quishing)?

Quishing e um ataque de phishing usando QR codes em vez de hyperlinks. Atacantes enviam emails, colocam adesivos sobre QR codes legitimos ou imprimem codigos falsos em locais publicos, todos levando a sites de roubo de credenciais. O FBI emitiu um alerta formal sobre quishing em janeiro de 2024, citando um aumento significativo nas denuncias.

Como saber se um QR code e seguro antes de escanear?

Voce nao consegue verificar completamente um QR code antes de escanea-lo sem um leitor que mostre a URL antes de abri-la. A maioria das cameras de celular abre a URL imediatamente. Use um app de scanner QR que mostra a URL primeiro e permite confirmar antes de prosseguir. Se estiver em local publico, inspecione o QR code em busca de sinais de adulteracao, um adesivo colocado sobre um codigo existente e um sinal de alerta.

E seguro escanear um QR code de restaurante?

Geralmente sim, restaurantes estabelecidos com QR codes impressos nos cardapios fisicos sao baixo risco. O risco aumenta com adesivos ou adicoes manuscritas a materiais existentes, codigos em emails nao solicitados e codigos em locais onde a adulteracao seria facil (parquimetros, avisos publicos). Se o QR code esta fisicamente integrado ao material impresso, e muito improvavel que tenha sido adulterado.

Um QR code pode roubar minhas informacoes pessoais?

O QR code em si nao pode, e apenas um padrao que codifica texto. Mas o site para o qual ele leva pode tentar roubar informacoes por meio de formularios de phishing, sequestro de sessao ou engenharia social. Escanear um QR code e equivalente a clicar em um link recebido de uma fonte desconhecida.

QR codes sao usados em golpes?

Sim, golpes com QR code sao documentados e crescentes. A FTC reportou um aumento notavel nas reclamacoes de fraude relacionadas a QR code em 2024. Padroes comuns incluem parquimetros de pagamento falsos, codigos fraudulentos de transferencia de criptomoedas e emails de phishing com QR codes substituindo hyperlinks (para burlar filtros de seguranca de email que nao escaneiam imagens).

E seguro escanear QR codes com meu app bancario?

Escaneie QR codes com seu app bancario apenas quando a fonte for inequivoca, a agencia fisica do banco, correspondencia oficial ou instrucoes dentro do app. Nunca escaneie um QR code de um email que diz ser do seu banco, a menos que voce tenha iniciado a interacao. Golpes bancarios com QR code estao entre os mais comuns em 2024.

Generate your first QR code — free

Comecar