O quishing é uma variação do phishing clássico — mas usa QR Codes no lugar de links falsos em e-mail. O golpista imprime ou cola um QR Code malicioso sobre o original e espera que você escaneie sem pensar. A vítima é redirecionada para uma página falsa de Pix, login ou instalação de app.

Por que cresceu tanto? Porque QR Code virou hábito no Brasil: cardápio de restaurante, estacionamento, boleto bancário, ponto de ônibus. Esse hábito foi o terreno fértil que os golpistas precisavam. Segundo relatórios de 2024 e 2025, ataques de quishing aumentaram mais de 300 % em dois anos — e a maioria das pessoas ainda não sabe que o golpe existe.


🔍 Como o golpe funciona

O quishing tem três passos simples:

  1. Substituição do QR Code. O criminoso imprime um adesivo com o QR falso e cola por cima do original — no parquímetro, no cardápio de papel, no boleto impresso ou até em cartazes de campanha.
  2. Redirecionamento invisível. Você escaneia, o celular abre uma URL. A página parece idêntica ao banco, ao estacionamento ou ao serviço original.
  3. Coleta de dados ou Pix. Você digita CPF, senha, ou faz um Pix achando que está pagando o serviço correto. O dinheiro vai para a conta do golpista.

Onde os ataques mais acontecem

  • Parquímetros e vagas de estacionamento rotativo
  • Mesas de restaurante (QR do cardápio/Pix)
  • Boletos físicos com QR impresso por terceiros
  • Pontos de recarga de veículo elétrico
  • Cartazes de "baixe nosso app" em locais físicos

O detalhe cruel: o celular mostra uma URL bem pequena e muita gente nem lê antes de clicar em "Continuar".


🛡️ Como se proteger

Siga estas práticas antes de escanear qualquer QR Code:

Confira a URL antes de agir

Depois de escanear, leia o endereço completo antes de abrir. Domínios como banco-seguro.app.br ou pix-pagamento.link não são sites oficiais. Domínio oficial do Bradesco é bradesco.com.br — não existe .app ou .link no meio.

Desconfie de Pix ou boleto por QR de origem duvidosa

  • Nunca pague Pix via QR Code impresso em papel avulso recebido por WhatsApp ou e-mail.
  • Se o QR veio de um estacionamento, verifique se o adesivo está íntegro — sem bolhas, rasuras ou sobreposição.
  • Prefira gerar seu próprio QR de pagamento dentro do app do banco.

Não baixe app por QR Code desconhecido

Cartazes com "Baixe nosso app, escaneie aqui" são vetores perfeitos de ataque. Prefira buscar o app diretamente na Google Play ou App Store, digitando o nome da empresa.

Cheque o adesivo fisicamente

Em parquímetros e mesas de restaurante, tente levantar o canto do adesivo. QR Code legítimo geralmente está impresso direto no equipamento ou num suporte oficial. Adesivo sobre adesivo é sinal de alerta.

Use a prévia do link

A maioria dos apps de câmera do Android e iOS mostra a URL antes de abrir. Nunca pule essa tela — ela é sua primeira linha de defesa.

Leia também: QR Code é seguro? O que você precisa saber para entender os riscos gerais do uso de QR Codes no dia a dia.


🏢 Para empresas

Se você usa QR Codes nos seus pontos físicos, a responsabilidade de proteger o cliente também é sua.

Use QR Codes dinâmicos

QR Codes dinâmicos permitem que você altere o destino sem reimprimir o código. Isso significa que, se alguém colar um QR falso sobre o seu, você pode desativar ou redirecionar o original imediatamente — e rastrear o acesso.

Com o gerador de QR Code dinâmico do Code2Scan você controla URL de destino, monitora escaneamentos por data, hora e localização, e detecta picos anormais de acesso que podem indicar que seu QR foi clonado.

Monitore os escaneamentos

Um QR Code legítimo de restaurante tem padrão de uso: almoço e jantar, dias úteis e fim de semana. Se você notar escaneamentos às 3h da manhã ou de cidades diferentes, algo está errado. Use o painel de analytics para detectar anomalias.

Veja como configurar redirecionamento condicional para bloquear acessos fora do horário de funcionamento.

Proteja com senha quando necessário

Para QR Codes de acesso restrito — documentos internos, formulários de RH, links de intranet — use QR Code protegido por senha. Assim, mesmo que alguém escaneie, não acessa o conteúdo sem a credencial.

Use material original e lacrado

  • Imprima QR Codes em papel resistente ou laminado.
  • Use suportes com borda fixada ou parafuso — mais difícil de sobrepor.
  • Revise fisicamente os QR Codes dos seus pontos de venda toda semana.
  • Considere incluir o logotipo da empresa no centro do QR — qualquer substituição fica visualmente perceptível.

❌ Erros comuns que facilitam o golpe

  • Escanear sem ler a URL — o erro mais frequente. A prévia existe, use-a.
  • Confiar no visual da página — páginas falsas são cópias quase perfeitas.
  • Achar que "isso não acontece aqui" — o Brasil está entre os países com mais ataques de quishing da América Latina.
  • Não atualizar o app de câmera — versões antigas podem abrir a URL direto, sem prévia.
  • Compartilhar QR Code por foto no WhatsApp — o destinatário não sabe de onde veio o original.
  • Empresas que não monitoram seus próprios QRs — sem analytics, você não sabe se seu código foi comprometido.

Evite também os erros comuns no uso de QR Code que comprometem a experiência e a segurança dos seus clientes.


📋 Resumo

  1. Quishing = phishing via QR Code falso colado sobre o original.
  2. O golpe acontece em parquímetros, restaurantes, boletos e cartazes.
  3. Antes de agir, leia a URL completa exibida pelo celular.
  4. Nunca pague Pix via QR de origem desconhecida.
  5. Não baixe apps por QR Code — use a loja oficial.
  6. Verifique fisicamente se há adesivo sobreposto.
  7. Empresas devem usar QR dinâmico com monitoramento para detectar ataques.
  8. Proteja conteúdos sensíveis com QR Code protegido por senha.

Crie QR Codes dinâmicos que você controla — monitore escaneamentos em tempo real, altere destinos sem reimprimir e proteja seus clientes contra quishing com o Code2Scan.

Ou, se precisar de um QR simples e rápido, use nosso gerador de QR Code gratuito.