Egidio
Dossiê · 2026

Falsos QR codes & quishing

Um QR code não tem um endereço visível — é exatamente isso que o torna uma ferramenta de fraude prática. Eis o que documentam o FBI e a FTC sobre este vetor em expansão.

Um alerta oficial, não um boato

FBI — Internet Crime Complaint Center (IC3), alerta PSA250731

Publicado a 31 de julho de 2025, este alerta descreve um esquema preciso: encomendas não solicitadas entregues a particulares, contendo um bilhete com um QR code a convidar a digitalizá-lo "para mais informações" — uma forma de iniciar esquemas de fraude através de um intermediário físico inesperado.

FTC (Federal Trade Commission) — alertas ao consumidor

A FTC publicou dois alertas distintos sobre este tema: em dezembro de 2023, sobre burlões que escondem ligações maliciosas em QR codes; em janeiro de 2025, um alerta específico sobre QR codes recebidos com encomendas inesperadas, redirecionando para sites de phishing concebidos para roubar credenciais ou números de cartão bancário.

82,6%
Dos emails de phishing analisados usavam IA generativa, um aumento de 53,5% num ano — o contexto mais amplo em que se insere a subida do quishing.
KnowBe4, 2025 Phishing Threat Trends Report. Consultado a 14/07/2026.

Porque este vetor funciona

Uma ligação clássica num email pode ser inspecionada ao passar o cursor por cima, para verificar o endereço antes de clicar. Um QR code, não: é preciso digitalizá-lo para descobrir para onde leva, e a câmara do telemóvel oculta o passo de verificação que muitas pessoas aprenderam para as ligações de texto. É exatamente por isso que a FTC e o FBI visam especificamente este vetor nos seus alertas recentes — encomendas, parquímetros, cartazes em espaço público: o suporte físico dá uma legitimidade que a ligação sozinha não teria.

🔒 Uma ligação escondida atrás de um QR code redireciona quase sempre depois para um SMS de confirmação ou uma chamada de "verificação" — é aí que a Egidio intervém, ligando o que acontece depois do scan aos outros canais. Veja o relatório mundial das burlas.

Perguntas frequentes

O que é o quishing?

Uma contração de «QR code» e «phishing»: uma burla em que um QR code falso, muitas vezes colado sobre um suporte real (encomenda, parquímetro, cartaz), redireciona a vítima para um site fraudulento em vez do site legítimo.

O FBI alertou mesmo para este tema?

Sim. O centro de queixas do FBI (IC3) publicou a 31 de julho de 2025 um alerta específico sobre encomendas não solicitadas contendo QR codes usados para iniciar esquemas de fraude.

Como identificar um QR code falso?

Desconfiar sistematicamente de um QR code recebido por correio, colado sobre um suporte existente, ou acompanhado de uma mensagem que crie urgência. O gesto mais seguro: nunca digitalizar um QR code inesperado, e verificar o endereço apresentado antes de continuar caso o digitalize mesmo assim.

Para ir mais longe