Egidio
Dossiê · 2026

QR codes falsos & quishing

Um QR code não tem endereço visível — e é exatamente isso que o torna uma ferramenta prática de fraude. Veja o que documentam o FBI e a FTC sobre esse vetor em expansão.

Um alerta oficial, não um boato

FBI — Internet Crime Complaint Center (IC3), alerta PSA250731

Publicado em 31 de julho de 2025, esse alerta descreve um esquema preciso: encomendas não solicitadas entregues a pessoas comuns, contendo um bilhete com um QR code convidando a escaneá-lo "para mais informações" — uma forma de iniciar esquemas de fraude por meio de um intermediário físico inesperado.

FTC (Federal Trade Commission) — alertas ao consumidor

A FTC publicou dois alertas distintos sobre o assunto: em dezembro de 2023, sobre golpistas que escondem links maliciosos em QR codes; em janeiro de 2025, um alerta específico sobre QR codes recebidos junto com encomendas inesperadas, redirecionando para sites de phishing feitos para roubar credenciais ou números de cartão.

82,6%
Dos e-mails de phishing analisados usavam IA generativa, um aumento de 53,5% em um ano — o contexto mais amplo em que se insere a alta do quishing.
KnowBe4, 2025 Phishing Threat Trends Report. Consultado em 14/07/2026.

Por que esse vetor funciona

Um link comum em um e-mail pode ser verificado passando o mouse por cima antes de clicar. Um QR code, não: é preciso escaneá-lo para descobrir para onde ele leva, e a câmera do celular esconde a etapa de verificação que muita gente aprendeu a fazer com links de texto. É exatamente por isso que a FTC e o FBI miram especificamente esse vetor em seus alertas recentes — encomendas, parquímetros, cartazes em espaços públicos: o suporte físico dá uma legitimidade que o link sozinho não teria.

🔒 Um link escondido atrás de um QR code quase sempre redireciona depois para um SMS de "confirmação" ou uma ligação de "verificação" — é aí que o Egidio entra em ação, conectando o que acontece depois do escaneamento com os outros canais. Veja o relatório mundial dos golpes.

Perguntas frequentes

O que é quishing?

Uma junção de "QR code" e "phishing": um golpe em que um QR code falso, muitas vezes colado sobre um suporte real (encomenda, parquímetro, cartaz), redireciona a vítima para um site fraudulento em vez do site legítimo.

O FBI realmente alertou sobre esse assunto?

Sim. O centro de denúncias do FBI (IC3) publicou em 31 de julho de 2025 um alerta específico sobre encomendas não solicitadas contendo QR codes usados para iniciar esquemas de fraude.

Como identificar um QR code falso?

Desconfiança sistemática diante de um QR code recebido por correio, colado sobre um suporte existente, ou acompanhado de uma mensagem que cria urgência. A atitude mais segura: nunca escanear um QR code inesperado, e verificar o endereço exibido antes de continuar caso escaneie mesmo assim.

Para saber mais