Golpe do QR Code falso (quishing): como identificar, agir e recuperar o dinheiro
Resposta rápida
Quishing é o golpe em que um QR Code malicioso substitui ou imita um legítimo para roubar dados ou redirecionar pagamentos. Antes de escanear, verifique se há adesivo colado sobre o original, confira o link e o nome do recebedor antes de confirmar qualquer Pix. Se já pagou, registre boletim de ocorrência e abra o Mecanismo Especial de Devolução (MED) no seu banco em até 80 dias.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›Há um adesivo de QR Code colado por cima do original em maquininha, totem de estacionamento ou cardápio.
- ›O nome do recebedor do Pix não corresponde ao estabelecimento, à empresa ou à pessoa que você esperava pagar.
- ›O QR Code chegou por e-mail, SMS ou WhatsApp pedindo urgência para regularizar boleto, multa ou entrega.
- ›Ao escanear, o link encurtado ou com domínio estranho pede login, senha, dados de cartão ou instalação de aplicativo.
- ›O valor exibido após a leitura é diferente do combinado, está editável ou foi gerado para um beneficiário desconhecido.
- ›A página aberta copia o visual do banco ou da loja, mas o endereço no navegador não é o site oficial da instituição.
Passo a passo — o que fazer
- 1
1. Pare e não confirme o pagamento
Se o QR Code abriu uma cobrança inesperada ou um login, não confirme nada. Feche a tela. No Pix, a confirmação final mostra nome e CPF/CNPJ do recebedor; se não bate com quem você quer pagar, cancele imediatamente, pois após a confirmação a transferência é instantânea e irreversível por padrão.
- 2
2. Reúna as provas
Tire prints da tela de pagamento, do QR Code, do comprovante, do nome do recebedor e da conversa ou e-mail que continha o código. Anote data, horário, valor e o local físico se o QR estava em maquininha, totem ou cartaz. Essas evidências são essenciais para o banco e para a polícia.
- 3
3. Acione o banco e abra o MED
Contate seu banco pelos canais oficiais (aplicativo ou central que está no verso do cartão) e solicite o Mecanismo Especial de Devolução do Pix por fundada suspeita de fraude. O pedido deve ser feito em até 80 dias da transação. O banco recebedor tem até 7 dias corridos para analisar e, se houver saldo, devolver os valores.
- 4
4. Registre boletim de ocorrência
Faça o boletim de ocorrência, preferencialmente na delegacia eletrônica do seu estado ou em uma delegacia especializada em crimes cibernéticos. O B.O. formaliza a fraude, ajuda na análise do MED e é exigido por seguros e por eventuais ações de contestação.
- 5
5. Troque senhas e revise acessos
Se você digitou senha, dados de cartão ou login em uma página aberta pelo QR, troque imediatamente a senha do serviço afetado e a do e-mail vinculado. Ative a verificação em duas etapas. Se informou dados do cartão, peça o bloqueio e a emissão de um novo ao banco.
- 6
6. Avise o estabelecimento e o Procon
Se o adesivo falso estava em uma loja, estacionamento ou restaurante, comunique o responsável para que ele remova o adesivo e alerte outros clientes. Em caso de cobrança indevida ou recusa de solução, registre reclamação no Procon do seu estado e no portal consumidor.gov.br.
- 7
7. Notifique o CERT.br e denuncie a página
Reporte a fraude ao CERT.br ([email protected]) para que o domínio malicioso possa ser tratado. Denuncie o link falso ao Google Safe Browsing e marque mensagens como golpe no WhatsApp, no e-mail e no provedor do encurtador, reduzindo o alcance do golpe.
- 8
8. Monitore conta e movimentações
Acompanhe extratos, faturas e notificações nos dias seguintes. Configure alertas de transação no aplicativo do banco e, se temer uso indevido do seu CPF, considere consultar e monitorar seu nome em birôs de crédito para identificar contas ou financiamentos abertos em seu nome.
O que NÃO fazer
- ✕Não escaneie QR Codes recebidos por e-mail, SMS ou WhatsApp para regularizar boletos, multas ou entregas sem confirmar pelo canal oficial.
- ✕Não confirme um Pix sem ler o nome e o CPF/CNPJ do recebedor na tela final do aplicativo do seu banco.
- ✕Não digite senhas, dados de cartão ou códigos de banco em páginas abertas por um QR Code.
- ✕Não confie no visual: logotipos, cores e nomes de empresas são facilmente copiados em páginas e adesivos falsos.
- ✕Não instale aplicativos sugeridos após escanear um QR; baixe apps apenas pelas lojas oficiais.
O que é quishing e por que o QR Code é um alvo fácil
Quishing é a junção de QR Code com phishing. O golpe usa um código falso para levar a vítima a um site fraudulento, a um pagamento desviado ou ao download de um aplicativo malicioso. Como o QR Code é apenas uma imagem que esconde um link ou um código de pagamento, é impossível saber para onde ele leva sem escanear, e é exatamente isso que os criminosos exploram.
A técnica ganhou força porque o QR Code virou rotina: pagar com Pix, abrir cardápio, liberar estacionamento, validar entradas de eventos. Esse hábito reduz a desconfiança. O usuário aponta a câmera quase no automático, e o golpe se aproveita dessa confiança para inserir um destino que não é o esperado.
Os formatos mais comuns no Brasil são três. O adesivo malicioso colado sobre um QR legítimo em maquininhas, totens de estacionamento e cardápios. O QR enviado por e-mail ou mensagem dentro de um falso boleto, multa ou aviso de entrega. E o QR de Pix que exibe um recebedor diferente do estabelecimento real, desviando o pagamento para a conta do criminoso.
Como identificar um QR Code falso antes de pagar
A inspeção física é o primeiro filtro. Em maquininhas, totens e cardápios, verifique se há um adesivo colado por cima de outro, bordas soltas, papel diferente do material original ou um código posicionado de forma estranha. Na dúvida, peça ao funcionário o QR oficial ou pague digitando a chave Pix do estabelecimento manualmente.
No Pix, a tela de confirmação do seu banco sempre mostra o nome e o CPF ou CNPJ de quem vai receber. Esse é o ponto de verificação decisivo: se o recebedor não corresponde ao estabelecimento, à empresa ou à pessoa que você pretende pagar, interrompa. Desconfie também de valores que vêm preenchidos de forma editável ou diferentes do combinado.
Quando o QR chega por mensagem ou e-mail, trate-o como um link suspeito. Boletos, multas e avisos de entrega legítimos podem ser conferidos diretamente no site ou aplicativo oficial da instituição, sem depender do código recebido. A pressa e a ameaça de bloqueio ou cobrança são táticas de engenharia social para que você aja sem pensar.
Ao escanear, observe o endereço antes de prosseguir. Domínios encurtados, com erros de digitação, subdomínios longos ou que não pertencem à instituição são sinais claros. Páginas que pedem login, senha ou dados de cartão logo após a leitura quase nunca são legítimas.
Cuida da segurança de uma empresa?
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraJá paguei ou cliquei: como recuperar com o MED
Se o pagamento foi por Pix, o caminho principal é o Mecanismo Especial de Devolução (MED), criado pelo Banco Central para casos de fraude e falha operacional. Você aciona seu próprio banco, que comunica o banco do recebedor a bloquear e devolver os valores quando houver fundada suspeita de golpe. O pedido precisa ser feito em até 80 dias da transação.
A devolução depende de o dinheiro ainda estar na conta do recebedor. Por isso, agir rápido aumenta as chances: golpistas costumam esvaziar a conta em minutos. O banco recebedor tem prazo de até 7 dias corridos para analisar o caso e efetuar a devolução do que for localizado. Não há garantia de recuperação total, mas o registro é indispensável.
Se você apenas digitou dados em uma página falsa, sem transferir dinheiro, o foco muda para contenção: troque senhas, ative verificação em duas etapas, bloqueie cartões expostos e monitore movimentações. Registre o boletim de ocorrência de qualquer forma, pois ele formaliza a fraude e ampara contestações futuras.
Guarde todos os comprovantes e protocolos. Se o banco negar a devolução ou houver cobrança indevida ligada ao golpe, você pode escalar pela ouvidoria da instituição, registrar reclamação no Banco Central, recorrer ao Procon e ao consumidor.gov.br, e, em última instância, buscar o Juizado Especial Cível.
Do golpe pessoal ao risco corporativo: quishing como vetor de ataque
O quishing não atinge só a pessoa física. Ele é hoje um vetor relevante de phishing corporativo. Criminosos enviam e-mails com QR Codes que escapam de filtros tradicionais, porque a imagem não contém o link em texto, e induzem o funcionário a escanear pelo celular pessoal, fora da proteção da rede da empresa.
Os cenários se multiplicam no ambiente de trabalho: QR Codes em falsos comunicados de RH, em crachás e badges de eventos e feiras, em cartazes de estacionamento corporativo, ou simulando páginas de login do e-mail e de sistemas internos para roubar credenciais. Um único acesso comprometido pode abrir caminho para fraudes maiores e vazamento de dados.
A mesma higiene digital que protege a pessoa física protege a organização: desconfiar de QR Codes não solicitados, verificar o destino antes de inserir credenciais, separar o uso pessoal do corporativo e relatar tentativas ao time de segurança. Treinar pessoas e monitorar domínios e marcas falsas reduz a superfície de ataque.
Como a Decripte ajuda pessoas e empresas a se protegerem
A Decripte é uma empresa brasileira de cibersegurança B2B que atende organizações de todos os portes, de pequenos negócios a operações com mais de 100.000 colaboradores. Atuamos para que o conhecimento que protege o usuário no dia a dia se traduza em defesa estruturada para a empresa.
Nossa Gestão de Ameaças monitora exposições, domínios e marcas falsas usadas em campanhas de phishing e quishing, ajudando a identificar páginas que se passam pela sua organização antes que cheguem a clientes e colaboradores. Oferecemos um plano gratuito de Gestão de Ameaças para você começar a enxergar seus riscos sem custo inicial.
Combinada a treinamento de conscientização e a processos claros de resposta, essa visibilidade encurta o tempo entre o surgimento de uma fraude e a reação da empresa. Quanto antes um QR ou domínio malicioso é detectado, menor o impacto sobre pessoas e negócios.
Termos importantes
- Quishing
- Golpe que usa QR Codes maliciosos para direcionar a vítima a sites falsos, pagamentos desviados ou downloads de malware. O nome combina QR Code com phishing.
- MED (Mecanismo Especial de Devolução)
- Ferramenta do Banco Central que permite ao banco da vítima solicitar ao banco do recebedor o bloqueio e a devolução de valores pagos por Pix em casos de fraude ou falha operacional, com pedido em até 80 dias.
- Phishing
- Técnica de engenharia social em que o criminoso se passa por uma instituição confiável para enganar a vítima e obter dados, senhas ou pagamentos. O quishing é uma de suas variantes.
- Engenharia social
- Conjunto de táticas que manipulam o comportamento humano, como senso de urgência, medo e confiança, para induzir a vítima a agir contra o próprio interesse.
Perguntas frequentes
O que é o golpe do QR Code falso (quishing)?
É a fraude em que um QR Code malicioso substitui ou imita um legítimo para levar a vítima a um site falso, a um pagamento desviado ou ao download de um aplicativo malicioso. Combina QR Code com phishing, daí o nome quishing.
Como saber se um QR Code de Pix é falso?
Confira sempre a tela final de confirmação do seu banco: ela mostra o nome e o CPF ou CNPJ do recebedor. Se não corresponde ao estabelecimento ou pessoa que você quer pagar, ou se o valor está editável ou diferente do combinado, não confirme.
Paguei um Pix por um QR Code falso. Consigo recuperar o dinheiro?
Pode ser possível pelo Mecanismo Especial de Devolução (MED). Acione seu banco imediatamente alegando fraude; o pedido deve ser feito em até 80 dias. A devolução depende de o dinheiro ainda estar na conta do golpista, por isso a rapidez é decisiva.
Qual é o prazo para abrir o MED?
O pedido de devolução pelo MED pode ser feito em até 80 dias contados da data da transação. O banco recebedor tem até 7 dias corridos para analisar o caso e devolver os valores que ainda estiverem disponíveis na conta.
Recebi um boleto com QR Code por e-mail. É seguro pagar?
Trate com cautela. Não escaneie o QR recebido por e-mail ou mensagem. Confira o boleto diretamente no site ou aplicativo oficial da empresa ou do banco emissor, e verifique o beneficiário antes de pagar.
Escaneei o QR e digitei minha senha. O que faço agora?
Troque imediatamente a senha do serviço afetado e do e-mail vinculado, ative a verificação em duas etapas e, se informou dados de cartão, peça o bloqueio ao banco. Registre boletim de ocorrência e monitore suas contas.
Onde denuncio um QR Code ou página fraudulenta?
Reporte ao CERT.br ([email protected]), denuncie o link ao Google Safe Browsing, registre boletim de ocorrência na delegacia eletrônica e, em caso de cobrança indevida, acione o Procon e o portal consumidor.gov.br.
O quishing também é risco para empresas?
Sim. QR Codes maliciosos chegam por e-mail driblando filtros, aparecem em crachás de eventos, falsos comunicados de RH e cartazes, e simulam logins de sistemas internos para roubar credenciais. É um vetor crescente de phishing corporativo.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.
