What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Guia de campo

Golpes com QR code para ficar de olho em 2026

Um QR code é apenas uma sequência codificada. O perigo não está no formato, mas no que essa sequência manda o seu celular fazer — e você normalmente escaneia sem ler. Aqui estão os dez ataques que acontecem agora, como cada um se parece na prática e como identificá-lo antes de tocar a tela.

Verificar um QR agora → Padrões de QR que decodificamos →

1. Troca de adesivo em parquímetros, cardápios e carregadores elétricos

Como se parece: Um pequeno adesivo colado sobre o QR legítimo em um parquímetro, cardápio de restaurante, estação de recarga elétrica ou terminal de autoatendimento. O QR do adesivo parece idêntico ao original. Ao escanear, você cai em uma página de pagamento que parece ser da cidade ou do restaurante. Pague, e o dinheiro vai para o golpista. Várias grandes cidades americanas foram atingidas em 2023-2024 (San Antonio, Austin, Houston); adesivos em carregadores de veículos elétricos explodiram entre 2024-2025.

Como identificar: Observe o QR. Ele está impresso diretamente na superfície (gravado, pintado, embutido sob laminado)? Ou é um adesivo? Passe a unha pela borda: se levantar, é adesivo. QRs de parquímetros e carregadores elétricos legítimos são quase sempre permanentes. Em cardápios, pergunte ao garçom qual página de pagamento é a real; operadores legítimos confirmam sem hesitar. E insira o QR no nosso scanner antes de pagar; o destino decodificado é a prova.

2. Wi-Fi gêmeo malicioso em aeroportos, hotéis e centros de convenções

Como se parece: Um cartão impresso ou adesivo anunciando Wi-Fi gratuito: "Airport_Free_WiFi", "Starbucks_Guest_2", "ConferenceGuest". Escaneie o QR, seu celular entra na rede e você tem internet. Mas a rede é o hotspot do celular do atacante, funcionando no mesmo ambiente. Ele encaminha seu tráfego para a internet real para que nada pareça errado, mas consegue ver consultas DNS, hostnames SNI, qualquer tráfego HTTP, e pode exibir portais cativos falsos pedindo credenciais.

Como identificar: Verifique se o SSID corresponde ao que o local divulga oficialmente. Aeroportos listam o nome do Wi-Fi para visitantes no site oficial; hotéis informam na recepção. Nomes parecidos (caracteres extras, letras trocadas, "Free" adicionado) são a assinatura do ataque. Nosso scanner sinaliza SSIDs suspeitos comparando com uma lista de nomes de marcas comumente imitados. Na dúvida, use os dados móveis.

3. Phishing por QR de passkey

Como se parece: Você está entrando em um site pelo computador. O site exibe um QR para vincular a passkey do seu celular. Um atacante que o levou ao site errado mostra o QR dele, vinculando sua passkey ao login ATIVO deles no site real. Agora eles estão na sua conta. O transporte híbrido CTAP 2.2 (o padrão por trás dos QRs de passkey) é criptograficamente sólido; o ataque é puramente humano: fazer você escanear um QR de uma tela que não é o site que você pensa.

Como identificar: Antes de escanear um QR de passkey, confirme a URL da página na barra de endereços do navegador. Sites de phishing costumam usar typosquat (hífen extra, letras trocadas, .co em vez de .com). O QR de passkey em si está correto; a questão é se a página que o exibe é legítima. Também: QRs de passkey têm vida curta (normalmente menos de um minuto); um QR em uma página de suporte estática por horas é suspeito.

4. Roubo por exportação do autenticador

Como se parece: Alguém pede seu celular desbloqueado para "tirar uma foto rápida". Abre o Google Authenticator, toca em Transferir contas → Exportar, gera um QR e o fotografa com o próprio celular. Depois devolve o seu. Esse QR contém todas as seeds do autenticador (Google, AWS, GitHub, seu banco, sua corretora de criptomoedas) codificadas em base64 num protobuf. A partir daí, eles podem gerar seus códigos de 6 dígitos para todas as contas, indefinidamente, até você redefinir cada uma.

Como identificar: A defesa não é detectar o QR, é nunca deixar que ele seja gerado. Não entregue um celular desbloqueado. Se precisar compartilhar algo, faça você mesmo. Além disso, a maioria dos aplicativos autenticadores agora exige desbloqueio biométrico no fluxo de exportação, mas o Google não exigia isso até o fim de 2023, e celulares antigos podem ainda não exigir. Se suspeitar que isso aconteceu, trate como uma violação total e redefina o 2FA em todas as contas no autenticador.

5. Publicação de foto de cartão de embarque

Como se parece: Um viajante posta foto do cartão de embarque no Instagram ou LinkedIn: "a caminho de Tóquio!" O código de barras PDF417 (ou QR) no cartão contém o código de reserva da companhia aérea (PNR) e o número do bilhete em texto simples. Um atacante que tira screenshot da foto decodifica o código de barras, consulta a reserva no site da companhia aérea (PNR + sobrenome costuma bastar) e pode cancelar a viagem, trocar o assento, ver o itinerário completo ou acionar fluxos de reembolso.

Como identificar: Não poste fotos de cartões de embarque. Se precisar, desfoque ou corte o código de barras E o código de reserva (geralmente impresso em algum lugar como um código alfanumérico de 6 caracteres). O QR/código de barras é um alvo perfeito porque é legível por máquina a partir de qualquer screenshot de celular.

6. Coleta de dados pelo código de barras da habilitação

Como se parece: Um bar, clube, loja de vape, dispensário ou varejista de produtos com restrição de idade escaneia o código PDF417 no verso da sua carteira de habilitação para "verificar sua idade". Esse código contém TODOS os atributos da habilitação em texto simples: nome, endereço, data de nascimento, número da habilitação, altura, peso, cor dos olhos. Alguns operadores retêm esses dados, vendem para agregadores de marketing ou os têm roubados em vazamentos. Um segurança de verdade precisa saber uma coisa: você tem idade legal. Ele não precisa do seu endereço.

Como identificar: Pergunte o que está sendo escaneado e por quê. Alguns estabelecimentos só precisam confirmar a idade; outros (grandes clubes em algumas jurisdições) são legalmente obrigados a reter dados. Questione se o local for pequeno e informal. Se você tiver uma carteira de habilitação digital, use-a; mDLs suportam divulgação seletiva (o bar pode perguntar apenas "maior de 21 anos? sim/não" sem ver sua data de nascimento).

7. QRs de drenagem de cripto em eventos de NFT e arte física

Como se parece: Um QR em um encontro de NFT, abertura de galeria, stand de conferência ou impresso em arte física promete mintar um NFT gratuito ou reivindicar um airdrop. Ao escanear, o QR abre uma sessão WalletConnect ou um deep-link para o aplicativo da sua carteira, e você é solicitado a assinar uma transação. A transação aprova um contrato malicioso para drenar todos os tokens da sua carteira. Kits de drenagem são software comum; o QR é apenas o mecanismo de entrega.

Como identificar: Leia o aviso de transação na carteira antes de assinar. Se pedir aprovações de token (especialmente setApprovalForAll ou gasto ilimitado via approve) para um contrato que você não reconhece, recuse. QRs de claims de NFT gratuito em stands aleatórios não valem o risco. Use uma carteira "quente" separada com saldo mínimo para interações presenciais; mantenha seus ativos reais em uma carteira que você nunca conecta a sessões de QR.

8. Adesivo sobre um QR de caridade ou doação

Como se parece: Um flyer de uma instituição de caridade real é afixado em um espaço público. Um atacante cobre o QR de doação com um adesivo próprio apontando para uma carteira que controla ou uma página de doação falsa. As doações vão para o golpista. Isso é mais comum em torno de desastres naturais e grandes acontecimentos; a instituição legítima faz divulgação intensa e o golpista aproveita a onda.

Como identificar: Igual ao item nº 1: o QR é um adesivo sobre a versão impressa ou faz parte da impressão original? Além disso, doe digitando a URL da instituição diretamente no navegador ou usando o aplicativo oficial. QR codes são práticos, mas não são uma cadeia de confiança.

9. QR de passaporte de produto falsificado

Como se parece: Um QR em um têxtil, bateria, dispositivo eletrônico ou móvel afirma ser o Passaporte Digital de Produto da UE (requisito ESPR, implantação gradual de 2027 a 2030). Ao escanear, uma página web elaborada exibe a procedência do produto, conteúdo reciclado e alegações de sustentabilidade. Nada disso é real; o fabricante do produto falsificado pagou por uma página genérica no estilo DPP. À medida que o DPP se expande, espere que esse golpe cresça: os reguladores ainda estão construindo o registro da UE que ancora a autenticidade.

Como identificar: Verifique se o campo do emissor no DPP corresponde a um operador econômico registrado na UE. A Comissão Europeia ainda não publicou o registro consolidado até meados de 2026; até lá, trate as alegações de DPP como informativas, não como verificadas. Nosso scanner extrai o campo do emissor e a URL do servidor DPP para que você possa fazer essa consulta.

10. Verificador mDL hostil pedindo dados além do necessário

Como se parece: Você apresenta sua carteira de habilitação digital (mDL) em um bar ou caixa de loja. O aplicativo verificador solicita nome completo, data de nascimento completa, número da habilitação, endereço E foto, quando a transação exige apenas verificação de idade. Você aprova por hábito. Agora um pequeno comércio tem sua identidade completa arquivada, retida por tempo indeterminado, vendida para quem sabe quem. O padrão exige que a carteira mostre a lista de solicitações, mas não impede que você aprove divulgações amplas.

Como identificar: Leia o aviso de solicitação. Se o verificador pedir mais do que a transação exige (um bar pedindo seu endereço, um atendente pedindo o número da habilitação), recuse e solicite a versão mínima (apenas age_over_21). Se recusarem, você tem uma decisão a tomar: fornecer mais do que o necessário ou ir embora. O padrão está do seu lado; o ecossistema de verificadores ainda não é regulamentado.

O que fazer se você já escaneou algo suspeito

Site de pagamento: Se você inseriu dados do cartão, entre em contato com seu banco agora para contestar a transação e solicitar a reemissão do cartão. Não espere a cobrança ser processada.
Wi-Fi: Esqueça a rede no seu celular. Verifique rapidamente os aplicativos usados recentemente em busca de solicitações de credenciais. Altere as senhas de tudo que você usou enquanto estava conectado, especialmente serviços que caíram para HTTP.
Passkey: Acesse a conta afetada, vá às configurações de segurança, liste as passkeys ativas e remova qualquer uma que não reconheça. Redefina também a senha, se o site permitir.
Exportação do autenticador: Trate isso como uma violação total. Redefina o 2FA em todas as contas que estavam no autenticador. Comece pelas mais críticas (banco, e-mail, corretora de criptomoedas, GitHub, AWS).
Cartão de embarque publicado: Entre em contato com a companhia aérea, altere o código de reserva se possível e configure um alerta de status de voo para perceber se alguém modificar a reserva.
Drenador de cripto assinado: Mova os ativos restantes para uma nova carteira imediatamente. Revogue as aprovações de contrato em todas as redes que você usou (revoke.cash e ferramentas similares cobrem a maioria das redes). Os tokens drenados geralmente são irrecuperáveis.

Verifique antes de escanear

Insira qualquer QR (imagem, colar ou câmera) no nosso scanner. Você verá o payload decodificado, a cadeia de redirecionamentos se for uma URL, quem pode alterar o destino no futuro e os sinalizadores de reputação. A decisão é sua; as informações estão na tela antes de você agir.

Abrir scanner →