Phishing por QR Code (Quishing): Como se Proteger
Quishing cresceu 400% desde 2023. Veja como funcionam ataques de phishing por QR code, como identificá-los e como se proteger.

Este artigo foi escrito pela equipe da QR Nova. Desenvolvemos software de codigos QR, o que pode influenciar nossa perspectiva.
A maioria dos guias de segurança sobre phishing por QR code ou enterra os conselhos práticos sob páginas de definições, ou te entrega uma lista tão genérica que poderia se aplicar a qualquer coisa digital. Enquanto isso, os ataques de quishing cresceram 400% entre 2023 e 2025 e agora representam 12% de todo phishing. Aqui está o que realmente funciona. O phishing por QR code, chamado de quishing, explora um fato simples: a URL de destino dentro de um QR code é invisível até você escaneá-lo. Os atacantes usam esse ponto cego para contornar filtros de e-mail, redirecionar você para páginas de coleta de credenciais e empurrar pagamentos fraudulentos. A defesa é igualmente simples: nunca abra o destino sem verificá-lo antes.
Resumo rápido
- Quishing = phishing por QR code. A URL fica escondida dentro do código, você não consegue ver para onde vai antes de escanear.
- Ataques cresceram 400% de 2023 a 2025; QR codes agora representam 12% de todas as tentativas de phishing (Keepnet Labs, 2026).
- Maiores vetores de ataque: adesivos sobre códigos legítimos, QR codes em PDFs de e-mail para contornar filtros de spam, faturas falsas e códigos de parquímetro.
- Defesa: use um scanner que pré-visualiza a URL, verifique o domínio antes de tocar e trate qualquer QR code inesperado como potencialmente hostil.
O que é phishing por QR code (quishing)?
Generate your first QR code — free
ComecarO phishing por QR code, quishing, é um ataque em que um QR code malicioso redireciona o scanner para um site falso, um download de malware ou uma página de autorização de pagamento. O termo combina "QR" com "phishing". Diferentemente de um link suspeito em um e-mail que um usuário cauteloso poderia passar o mouse para pré-visualizar, a URL dentro de um QR code é completamente invisível até que você já tenha apontado a câmera e o celular tenha seguido o redirecionamento.
A superfície de ataque é mais ampla do que a maioria das pessoas percebe. Um QR code pode codificar qualquer URL, o código em si não carrega nenhum indicador de intenção. É apenas uma matriz de quadrados pretos e brancos. Um código impresso em uma mesa de restaurante, colado em um parquímetro ou anexado a um e-mail de fatura de aparência oficial é indistinguível de um malicioso sem ler primeiro o conteúdo codificado.
É isso que torna o quishing estruturalmente diferente do phishing tradicional por e-mail. Os gateways de segurança de e-mail passaram anos aprendendo a detectar links maliciosos. Um QR code em um anexo de PDF contorna toda essa camada, o gateway de segurança vê uma imagem, não uma URL, e deixa passar. No início de 2026, essa lacuna é uma das principais razões pelas quais o quishing escalou tão rápido.
O quão grave é? os dados sobre quishing em 2026
Os ataques de phishing por QR code aumentaram 400% entre 2023 e 2025, de acordo com análise da Keepnet Labs. Entre agosto e novembro de 2025 sozinhos, os incidentes de quishing cresceram 5 vezes, saltando de aproximadamente 46.000 para 250.000 casos documentados por mês. No início de 2026, os QR codes representam cerca de 12% de todos os ataques de phishing, com 68% desses ataques mirando usuários de celular, o principal dispositivo de escaneamento de QR code.
O relatório de inteligência de ameaças de 2025 da ZenSec identificou 1,7 milhão de QR codes maliciosos exclusivos em anexos de e-mail ao longo do ano. O Relatório de Defesa Digital da Microsoft sinalizou mais de 15.000 e-mails de phishing com QR code por dia visando o setor educacional. Esses números são quase certamente subestimativas, QR codes em ambientes físicos (adesivos, materiais impressos) não geram dados de servidor e raramente são formalmente reportados.
As marcas mais visadas por campanhas de quishing em 2025 foram Mastercard (14.233 códigos maliciosos documentados) e Microsoft (11.796), segundo dados da Keepnet. Serviços financeiros e provedores de identidade em nuvem são os principais alvos porque o roubo de credenciais nessas plataformas gera o maior valor subsequente.
Como os atacantes usam QR codes falsos
Os ataques de quishing assumem várias formas distintas, cada uma adequada a diferentes ambientes e alvos. Entender a mecânica ajuda a reconhecê-los na prática.
O ataque de adesivo-sobre-adesivo
O método de quishing fisicamente mais perigoso: um criminoso imprime um adesivo com QR code e o cola sobre um código legítimo em um parquímetro, um cartão de mesa de restaurante, um cartaz ou uma placa de entrada de prédio. A vítima vê o contexto legítimo ao redor, a placa de aparência oficial, o ambiente familiar do restaurante, e confia no código por associação.
Em 2022 e 2023, a cidade de Austin, no Texas, reportou dezenas de parquímetros comprometidos onde adesivos de quishing cobriam os códigos legítimos de pagamento. Motoristas que escanearam os códigos falsos eram redirecionados para uma página de pagamento que coletava dados de cartão de crédito mas nunca processava o pagamento do estacionamento. Os adesivos eram visualmente indistinguíveis dos originais a olho nu.
QR codes em anexos de e-mail (bypass de seg)
Gateways de E-mail Seguro (SEGs) varrem links maliciosos no corpo e nos anexos de e-mail. Um QR code embutido em uma imagem PDF contorna completamente essa varredura, o gateway processa um JPEG ou PNG, não uma URL. O atacante envia uma fatura falsa, atualização de política de RH ou notificação de encomenda contendo um QR code. O destinatário, orientado a "escanear o código para confirmar o recebimento", escaneia no celular, que está fora do perímetro de segurança corporativo, e cai em uma página de coleta de credenciais.
Essa técnica é por que o phishing por QR code se acelerou nos ambientes corporativos. O Relatório de Cibersegurança da Acronis para 2026 identificou o phishing por QR code como uma técnica de evasão de alto nível especificamente porque roteia os ataques por dispositivos móveis pessoais que contornam a detecção de endpoint corporativo.
Códigos falsos de WiFi, eventos e varejo
QR codes em espaços públicos, lobbies de hotel para acesso à WiFi, locais de eventos para check-in, lojas para programas de fidelidade, atraem pessoas distraídas, em movimento e que esperam escanear algo. Um atacante que coloca um QR code falso de "WiFi Grátis" em uma cafeteria ou saguão de aeroporto consegue coletar credenciais de dezenas de usuários por dia. Nenhuma configuração elaborada necessária.
Impersonação de serviços governamentais e de utilidades
As campanhas de quishing cada vez mais se passam por serviços governamentais: QR codes de restituição de imposto, contas de serviços públicos com QR codes de pagamento, avisos de licenciamento de veículo. Esses funcionam porque a pessoa comum tem baixo ceticismo de base em relação a correspondência oficial de aparência impressa.
Por que 73% dos usuários escaneiam sem verificar
Pesquisa da KnowBe4 e da NordVPN descobriu que 73% dos usuários escaneiam QR codes sem verificar para onde o link vai. Isso não é uma falha de inteligência, é uma falha de fricção. A defesa tradicional contra phishing depende de fazer os usuários pausarem e avaliarem. Os QR codes colapsam essa pausa: o ato físico de apontar a câmera e o ato digital de seguir um link acontecem em menos de dois segundos, sem nenhuma URL visível para inspecionar.
Os navegadores mobile agravam isso. Em um desktop, uma URL suspeita é imediatamente visível em letras grandes. Em um navegador mobile, a barra de endereço é pequena, frequentemente truncada e a maioria dos usuários nunca a olha, eles estão focados no conteúdo da página que carregou. Uma página de login falsa convincente não precisa de uma URL perfeita se os usuários nunca a verificam.
O problema mais profundo é a confiança física. Um QR code impresso em um cardápio, em sinalização oficial ou dentro de um prédio que exige entrada parece categoricamente diferente de um link em um e-mail não solicitado. O mundo físico tem sido confiável por séculos. Os atacantes estão explorando diretamente essa confiança.
Como reconhecer um QR code malicioso
Não há como distinguir visualmente um QR code legítimo de um malicioso olhando para o padrão. A defesa contra quishing é processual, não visual. Esses são os sinais específicos que valem a pena verificar:
Verifique se há adesivos
Antes de escanear qualquer QR code em uma superfície física, especialmente terminais de pagamento, parquímetros ou sinalização pública, procure sinais de que um adesivo foi colocado sobre o código original. Ligeiro desalinhamento, bordas com bolhas, textura de papel diferente ou um contorno de adesivo ao redor do código são todos indicadores. Em uma mesa de restaurante, verifique se todas as mesas têm códigos correspondentes em posições correspondentes, um ataque de adesivo geralmente é inconsistente em toda a sala.
Pré-visualize a URL antes de abrir
Use um scanner de QR que mostra a URL de destino antes de abri-la. O iOS 16+ nativo faz isso: mostra uma pequena pré-visualização de URL na parte inferior da tela quando você posiciona a câmera sobre um QR code, antes de tocar. A maioria dos apps dedicados de scanner de QR (não o atalho de câmera integrado) mostra a URL para revisão. Faça do hábito ler antes de tocar.
Verifique o domínio com cuidado
As páginas de quishing usam domínios parecidos: paypa1.com, microsott.com, amazon-security.net. Verifique se o domínio corresponde exatamente à organização. Subdomínios são um truque comum, "paypal.com.security-check.net" parece legítimo para um leitor rápido, mas o domínio real é "security-check.net", não paypal.com. O domínio é tudo à direita da última barra antes do primeiro segmento de caminho.
Trate QR codes inesperados como hostis por padrão
Qualquer QR code que chegou sem solicitação, em um e-mail que você não pediu, em uma correspondência que você não estava esperando, em uma placa que apareceu recentemente, merece o mesmo ceticismo que uma ligação não solicitada pedindo seus dados bancários. Serviços legítimos quase nunca precisam que você escaneie um QR code quando podem enviar um hiperlink. Quando usam QR codes (cartões de embarque, ingressos de eventos, configuração de 2FA), é em um contexto que você iniciou.
Os casos de falha específicos que os guias genéricos ignoram
A maioria dos guias de quishing cobre cenários óbvios. Esses são os modos de falha que eles pulam:
Quishing em faturas de PDF (vulnerabilidade B2B)
As equipes financeiras processam dezenas de faturas de fornecedores por dia. Uma fatura de PDF contendo um QR code com o rótulo "escaneie para confirmar o recebimento" chega de um remetente que parece ser um fornecedor estabelecido, o spoofing de nome é trivial. O membro da equipe financeira o escaneia para processar o documento rapidamente, sem suspeitar que um QR code em uma fatura seja incomum. Esse vetor de ataque disparou nos ambientes B2B porque os e-mails relacionados a faturas têm alto volume e são tratados como rotina.
Quishing em eventos físicos
Quiosques de check-in de conferências, estações de pulseiras de eventos e scanners de crachá de feiras de negócios usam cada vez mais QR codes. Um atacante que imprime e afixa um QR code falso de check-in próximo à estação legítima captura credenciais de participantes e potencialmente dados de crachá corporativo. Eventos físicos são ambientes de baixa segurança, a equipe está focada no fluxo, não na verificação.
Impersonação de ti interno
Uma campanha de phishing interno se passando pelo helpdesk de TI enviando um QR code de "atualização de segurança obrigatória" para configuração de autenticação multifator é particularmente eficaz. Os funcionários estão condicionados a cumprir solicitações de TI. Um QR code enquadrado como "obrigatório, escaneie para registrar seu novo dispositivo" contorna o ceticismo que os usuários poderiam aplicar a e-mails externos.
Como proteger a sua organização
A vigilância individual importa, mas as defesas organizacionais são mais confiáveis. Os controles práticos que reduzem a exposição ao quishing:
- Configure o SEG para sinalizar QR codes em anexos: Plataformas modernas de segurança de e-mail incluindo Proofpoint, Mimecast e Microsoft Defender agora oferecem extração de conteúdo de QR code. Ativar isso significa que a URL embutida é analisada em vez de a imagem ser passada sem verificação.
- Implante detecção de ameaças móveis (MTD): As soluções de MTD podem inspecionar URLs no momento de abertura em um dispositivo mobile, fornecendo uma segunda verificação após o QR code ser escaneado.
- Treine a equipe especificamente sobre o padrão de ataque de adesivo: Treinamentos genéricos de phishing que pulam os ataques físicos de QR code perdem o vetor de entrega mais comum.
- Desative a abertura automática de URL nas configurações do scanner de QR: No iOS e no Android, o escaneamento de QR pode ser configurado para pré-visualizar a URL em vez de abri-la imediatamente. Uma única configuração adiciona a pausa crítica que a maioria dos usuários ignora.
- Para locais físicos: plastifique seus QR codes: Um código plastificado é mais difícil de recobrir com adesivo. Para códigos de pagamento, verifique periodicamente o código escaneando-o e confirmando o destino.
Quando usar QR codes com segurança — e quando não
QR codes não são inerentemente perigosos, são um formato de codificação neutro. O risco depende do contexto. Aqui está quando os QR codes são seguros para criar e distribuir sem adicionar risco ao seu público:
- Códigos estáticos apontando para destinos conhecidos e permanentes: Um QR code de URL que você mesmo cria, apontando para seu próprio domínio, é tão seguro quanto qualquer link no seu site. O risco dos códigos estáticos está quase inteiramente no lado receptor (verificar se o código físico não foi adulterado).
- Acesso WiFi in-loco: Um QR code de WiFi gerado nas suas próprias instalações para hóspedes os conecta à sua rede, nada mais. Não há camada de redirecionamento e nenhuma URL para falsificar.
- Ingressos de eventos e cartões de embarque que você iniciou: QR codes que você solicitou (app de companhia aérea, plataforma de ingressos) são legítimos por definição porque você disparou a geração deles.
A categoria que adiciona risco: QR codes dinâmicos gerenciados por plataformas de terceiros. Se uma plataforma for comprometida, se a URL curta for sequestrada ou se o domínio de um fornecedor expirar e for registrado novamente por um atacante, um código dinâmico anteriormente legítimo pode se tornar malicioso sem que o proprietário do código tenha feito nada errado. Para casos de uso de alto risco, transações financeiras, autenticação, saúde, códigos estáticos que apontam diretamente para seu próprio domínio reduzem essa superfície de ataque de forma significativa.
Como o QR nova aborda a segurança dos códigos
O problema de confiança nos QR codes vai mais fundo do que o phishing. Inclui quem controla o destino e o que acontece quando esse controle muda. Os códigos estáticos do QR Nova codificam a URL diretamente, não há camada de redirecionamento nem servidor de plataforma na cadeia. Se você cria um QR code apontando para seu próprio site, o código aponta para o seu site. Permanentemente. Sem conta necessária, nada para renovar, nenhum servidor de terceiros que possa ser comprometido ou deixado expirar.
Para usuários preocupados com a segurança de QR codes que recebem, o mesmo princípio se aplica: um código apontando diretamente para um domínio que você reconhece, não por meio de um redirecionamento de URL curta, é mais seguro por design. Crie um QR code de link direto gratuitamente no QR Nova, sem cadastro, e dê ao seu público um código que eles podem verificar de imediato.
O quishing é uma lacuna explorável precisamente porque a maioria dos QR codes usa camadas de redirecionamento, URLs curtas que obscurecem o destino final. Reduzir a dependência de códigos dinâmicos baseados em redirecionamento, onde o destino não é visível até a resposta final do servidor, fecha um dos principais vetores em que os atacantes dependem.
Perguntas frequentes
O que é quishing?
Quishing é phishing por QR code, um ataque em que um QR code malicioso redireciona você para um site falso projetado para roubar suas credenciais, instalar malware ou autorizar um pagamento fraudulento. O termo combina 'QR' com 'phishing'. Diferentemente de links em e-mails, a URL de destino fica escondida dentro do padrão do QR code e é invisível até que você o escaneie.
Qual é a frequência de ataques de phishing por QR code em 2026?
Os ataques de phishing por QR code aumentaram 400% entre 2023 e 2025, e os incidentes de quishing cresceram 5 vezes entre agosto e novembro de 2025, de 46.000 para 250.000 casos por mês. No início de 2026, os QR codes representam cerca de 12% de todos os ataques de phishing, de acordo com dados compilados pela Keepnet Labs.
Meu celular pode ser hackeado ao escanear um QR code?
Escanear um QR code com a câmera não executa código no seu dispositivo. O risco vem da URL para qual o código te envia: uma página de phishing que te engana para inserir credenciais, um site que explora uma vulnerabilidade do navegador ou uma solicitação de pagamento. Sua câmera em si está segura, seu navegador é a superfície de ataque.
Como verifico um QR code antes de escanear?
Use um app de scanner de QR que mostra a URL de destino antes de abri-la, a maioria dos apps dedicados de scanner faz isso, assim como a câmera nativa do iOS 16+. Verifique se o domínio da URL corresponde exatamente à organização esperada (os atacantes frequentemente usam domínios parecidos como 'paypa1.com' em vez de 'paypal.com'). Se um QR code aparecer em um cartaz ou em espaço público e a URL parecer desconhecida, não escaneie.
O que devo fazer se escanear um QR code malicioso?
Se você escaneou um código suspeito mas não inseriu nenhuma informação: feche a aba do navegador imediatamente. Se você inseriu credenciais: mude a senha dessa conta imediatamente e ative a autenticação de dois fatores. Se você autorizou um pagamento: entre em contato com seu banco ou provedor de pagamento. Se você instalou um app: remova-o e execute uma varredura de segurança. Informe o incidente à sua equipe de TI se estiver em um dispositivo de trabalho.
É seguro escanear QR codes em e-mails?
QR codes em e-mails são um grande vetor de ataque, 1,7 milhão de QR codes maliciosos exclusivos foram detectados em anexos de e-mail em 2025. Trate QR codes em e-mails não solicitados ou inesperados com a mesma suspeita que você trataria um link de um remetente desconhecido. Empresas legítimas raramente precisam enviar um QR code por e-mail quando podem simplesmente enviar um hiperlink.
Como os criminosos usam o phishing por QR code?
Métodos comuns de quishing incluem: colocar um adesivo de QR code falso sobre um código legítimo em um parquímetro ou mesa de restaurante; incorporar QR codes maliciosos em anexos de PDF para contornar filtros de links de e-mail; enviar e-mails falsos de notificação de fatura ou encomenda com QR codes; e substituir fisicamente os códigos de check-in de eventos. O ataque de adesivo-sobre-adesivo é particularmente difícil de detectar porque o contexto ao redor (a placa legítima ou a mesa) adiciona confiança.
Artigos relacionados
Codigos QR Podem Ser Hackeados? Os Riscos Reais
Codigos QR podem ser hackeados? O codigo em si nao, mas ataques de quishing enganam voce apos a leitura. Conheca as ameacas reais e como se proteger.
Codigos QR Sao Seguros para Escanear? Riscos Reais
Codigos QR sao seguros? O codigo em si nao pode te prejudicar, mas o destino pode. Conheca os riscos reais, os mitos e como escanear com seguranca.
Melhores Práticas de Segurança QR para Plataformas
Segurança de plataforma de QR code: validação de URL, auditoria de redirecionamentos, monitoramento de anomalias, prevenção de abuso e logs de auditoria.
Generate your first QR code — free
Comecar