O novo golpe de código QR impulsionado por IA — e como evitá-lo

Segurança e burlas Guide7 min de leitura·Atualizado em 11 de julho de 2026
A resposta rápida

Quishing é phishing por código QR — ler um código falso leva-o a um site que rouba os seus dados de acesso ou de pagamento. A IA tornou estas burlas muito mais fáceis de criar e muito mais difíceis de detetar. Os hábitos mais seguros são: pré-visualizar o URL antes de tocar, nunca introduzir dados de pagamento ou de acesso após ler um código QR num local público, e escrever os endereços manualmente quando tiver dúvidas.

Provavelmente leu dezenas de códigos QR no último ano — para ver um menu de restaurante, pagar estacionamento ou fazer check-in em algum lugar. Esse pequeno quadrado é agora uma das ferramentas favoritas dos burlões, e a IA tornou dramaticamente mais fácil criar códigos falsos convincentes. O truque chama-se quishing, e está a espalhar-se suficientemente depressa para que tanto o FBI como a FTC tenham emitido avisos sobre ele.

O que é quishing?

A palavra combina «QR» e «phishing» — a categoria mais ampla de burlas que se fazem passar por uma organização de confiança para roubar os seus dados de acesso ou de pagamento.

Eis como funciona: um burlão cria um código QR que, quando lido, o leva a um sítio falso que parece exatamente igual ao seu banco, ao portal de pagamento de estacionamento da sua cidade, ou à página de rastreamento de uma transportadora. A página pede-lhe para iniciar sessão, confirmar um pagamento ou verificar a sua identidade. Se o fizer, as suas credenciais ou número de cartão vão diretamente para o burlão.

A razão pela qual os códigos QR são particularmente eficazes para os burlões é que os filtros de segurança de e-mail e texto são construídos para detetar ligações de texto suspeitas — não são construídos para ler imagens. Um código QR falso incorporado num PDF ou como anexo de imagem passa pela maioria dos filtros sem ser detetado.

Onde aparecem os códigos QR falsos

Os códigos falsos estão a aparecer em lugares muito comuns:

Parquímetros. Uma autocolante com um código QR falso é colocada sobre o código de pagamento legítimo. Lê-o, introduz o seu cartão de crédito numa página falsa convincente de «pagamento de estacionamento», e o parquímetro nunca regista o seu pagamento.

Menus de restaurante. A maioria dos menus QR é segura, mas os burlões já foram apanhados a colocar autocolantes sobre os códigos originais. A versão falsa redireciona para uma página que pode pedir o cartão de crédito «para reservar o seu lugar» ou oferecer um formulário de desconto.

Mensagens de entrega de encomendas. Recebe uma mensagem a dizer que a entrega está atrasada e a pedir-lhe que leia um código ou siga uma ligação para reagendar. O URL leva a uma página falsa que pede a sua morada e dados de pagamento.

Folhetos e cartazes. Códigos falsos apareceram em folhetos comunitários — um «cartão de oferta gratuito» ou «oferta exclusiva» — colocados em lavandarias, bibliotecas e halls de edifícios de apartamentos.

E-mails e anexos PDF. Uma mensagem de um suposto banco, serviço público ou transportadora contém um código QR a pedir-lhe que «verifique a sua conta». Esta é a versão digital mais comum, e a mais provável de escapar ao software de segurança de e-mail.

Por que razão a IA piorou muito isto

Antes de as ferramentas de escrita com IA estarem amplamente disponíveis, um e-mail de burla era frequentemente fácil de identificar: escrita desajeitada, erros gramaticais, um pedido estranho que não soava como uma comunicação real de um banco. Isso já não é um indicador fiável.

Segundo um relatório de julho de 2026, os ataques de phishing com IA saltaram 14 vezes num único mês, e o phishing gerado por IA representa agora cerca de 40% de todos os ataques de phishing. Os burlões usam IA para escrever e-mails perfeitamente profissionais, gerar páginas de login falsas de aspeto realista, e criar códigos QR em escala — centenas de versões ligeiramente diferentes a visar diferentes pessoas ou regiões.

A combinação é particularmente eficaz: o e-mail parece ter vindo de uma empresa real, o código QR contorna os filtros de texto, e o sítio falso parece idêntico ao real. O único momento em que tem para o apanhar é quando verifica o URL para onde o código aponta realmente.

Como verificar um código QR antes de tocar

Não precisa de deixar de usar códigos QR completamente. Só precisa de um hábito rápido: ler a pré-visualização do URL antes de tocar.

No iPhone: Quando aponta a câmara para um código QR, aparece uma pequena notificação no topo do ecrã a mostrar o URL de destino. Não toque nessa notificação imediatamente — leia primeiro o endereço.

No Android: A maioria das aplicações de câmara Android mostram uma pequena barra de URL abaixo do enquadramento do código QR. Leia antes de tocar.

O que procurar no URL:

  • O domínio corresponde à organização que esperaria? Uma aplicação de estacionamento da cidade pode ser «nomedacidade.pt» ou «parkXYZ.com» — não deve ser «parking-secure-pay.net» com um domínio aleatório que não reconhece.
  • Há uma longa sequência de caracteres aleatórios no URL? Os códigos QR legítimos para um menu ou página de pagamento geralmente têm endereços limpos e curtos.
  • O domínio usa erros ortográficos subtis — «rnybank.com» em vez de «mybank.com»? Essa letra extra é fácil de ignorar à primeira vista.

Hábitos seguros para o futuro

Escreva os endereços manualmente quando tiver dúvidas. Se um código QR num e-mail lhe pede para «verificar a sua conta» no banco, não o leia — abra a aplicação do banco ou escreva o endereço que conhece no browser. A FTC recomenda especificamente isto como orientação principal para a segurança com códigos QR.

Nunca introduza dados de pagamento ou de acesso após ler um código público. Se um parquímetro, cartaz ou qualquer código QR público pedir o seu cartão de crédito ou palavra-passe, pare. As aplicações legítimas de estacionamento e os sistemas de pagamento públicos permitem pagar através de uma aplicação estabelecida que já tem, ou aceitam o seu cartão diretamente no parquímetro. Não precisam que introduza o número completo do cartão num sítio web a que chegou por uma autocolante QR.

Verifique as autocolantes. Antes de ler um código QR numa superfície física — um parquímetro, uma placa de mesa, um cartaz — veja se o código está impresso diretamente ou se tem um bordo de autocolante por cima. Uma autocolante colocada sobre um código legítimo é a forma física mais comum desta burla.

Seja extra cético com códigos QR em e-mails. Os bancos reais, serviços públicos e transportadoras raramente precisam que leia um código QR. Têm aplicações e sítios web a que pode aceder diretamente. Um e-mail inesperado contendo um código QR é um sinal de alarme mesmo que o branding pareça correto.

O que deve ter em atenção

Estes hábitos detetarão a maioria das tentativas de quishing, mas nenhuma verificação é infalível. Os burlões continuam a aperfeiçoar a sua técnica, e as páginas falsas que constroem são por vezes visualmente indistinguíveis das reais. Se introduziu informações após ler um código e depois ficou com dúvidas, aja rapidamente: mude a palavra-passe, ligue ao banco e denuncie o incidente em reportfraud.ftc.gov. Quanto mais cedo agir, melhores as suas hipóteses de limitar os danos.

Uma coisa que este guia não aborda: as chamadas telefónicas impulsionadas por IA que por vezes acompanham as burlas QR. Um burlão pode ligar pouco depois de ter lido um código, afirmando «verificar o seu pagamento» e pedindo dados do cartão que não introduziu no sítio falso. Se receber uma chamada inesperada logo após ler um código QR, desligue e ligue diretamente à organização usando um número que procure você mesmo.

O que tentar a seguir

O quishing faz parte de uma vaga mais ampla de burlas impulsionadas por IA a atingir as caixas de entrada agora mesmo — Como identificar e-mails de phishing de IA aborda os sinais de que uma mensagem não foi escrita por um humano. E se estiver a receber chamadas suspeitas a par de mensagens suspeitas, Os melhores bloqueadores de chamadas de burla com IA apresenta as ferramentas que podem ajudar a filtrá-las.

Publicado em 11 de julho de 2026 · Atualizado em 11 de julho de 2026Como testamos →

Perguntas frequentes

O que é quishing?
Quishing é uma abreviação de QR code phishing. Os burlões colocam um código QR falso — numa autocolante, num e-mail ou numa mensagem de texto — que o redireciona para um sítio web falso convincente concebido para roubar a sua palavra-passe, número de cartão de crédito ou outras informações pessoais. O nome combina «QR» e «phishing», que é a categoria mais ampla de truques que se fazem passar por organizações de confiança para roubar credenciais.
Por que razão os burlões usam códigos QR em vez de ligações normais?
Uma ligação de phishing normal mostra o URL real como texto, que os filtros de segurança de e-mail e os leitores atentos frequentemente conseguem detetar. Um código QR é uma imagem — o software de segurança de e-mail analisa texto, não imagens, pelo que um código QR falso incorporado num PDF ou como anexo de imagem passa pela maioria dos filtros sem ser detetado. Também não consegue ver para onde vai um código QR da mesma forma que pode passar o rato sobre uma hiperligação num computador.
Como posso pré-visualizar para onde vai um código QR antes de tocar?
Na maioria dos smartphones, apontar a câmara para um código QR mostra uma pequena pré-visualização do URL antes de tocar em qualquer coisa — procure essa pré-visualização e leia-a com atenção. No iPhone, aparece como uma notificação no topo do ecrã; no Android aparece logo abaixo do enquadramento do código QR. Se o domínio na pré-visualização não corresponder à organização que espera — por exemplo, «parking-pay.net» quando esperava a aplicação de estacionamento da sua cidade — não toque.
Os códigos QR nos menus de restaurante são seguros?
A maioria dos menus QR de restaurantes é completamente legítima — levam a um PDF ou a um sítio simples que o restaurante configurou. O risco é uma autocolante colocada sobre o código original, o que é fácil de detetar: procure um bordo de autocolante ou papel ligeiramente diferente por cima do código impresso. Se algo parecer ter sido adicionado, diga ao pessoal e não leia o código.
O que devo fazer se já li um código QR suspeito?
Se tocou na ligação mas não introduziu qualquer informação, feche o browser e está quase certamente em segurança. Se introduziu um nome de utilizador e palavra-passe, mude essa palavra-passe imediatamente em todas as contas onde usa a mesma, e ative a autenticação de dois fatores se ainda não o fez. Se introduziu um número de cartão de crédito, ligue imediatamente ao seu banco. Denuncie o código suspeito à FTC em reportfraud.ftc.gov.
Posso confiar em códigos QR em e-mails de empresas que conheço?
Tenha cuidado. Os burlões copiam especificamente o branding de empresas bem conhecidas — bancos, serviços de entrega, serviços públicos — porque um logótipo familiar baixa a guarda. A FTC aconselha a não ler códigos QR de e-mails inesperados, mesmo que pareçam oficiais. Em vez disso, aceda diretamente ao sítio web da empresa escrevendo o endereço, ou ligue para o número no verso do seu cartão.
Radim S.
Fundador e editor

Radim é programador e passa os dias a desenvolver com IA e as noites a explicá-la a familiares que não querem saber como funciona — só o que pode fazer por eles. Cada guia é testado à mão antes de ser publicado.