Choose your language to read side by side with English.

Fake QR codes make for easy scams – be careful what you scan out there
,

Códigos QR falsos facilitam golpes – tenha cuidado com o que você escaneia por aí

Fake QR codes make for easy scams – be careful what you scan out there

Meena Jha, Head Technology and Pedagogy Cluster CML-NET, CQUniversity Australia
Show
Hide
EN – PT
PT – EN

QR codes are so familiar and widespread, we tend to trust them without question. That’s exactly what scammers rely on.

Os códigos QR são tão familiares e difundidos que tendemos a confiar neles sem questionar. É exatamente isso que os golpistas exploram.

It’s a simple thing we encounter many times every single week – often while in a hurry. You pull up at a parking spot, scan a QR code and pay within seconds. Or you sit down at a cafe, scan a code to view the menu and order your meal.

É algo simples que encontramos muitas vezes a cada semana – muitas vezes com pressa. Você chega a um local de estacionamento, escaneia um código QR e paga em segundos. Ou você senta em um café, escaneia um código para ver o menu e pedir sua refeição.

At the train station, you scan the code on the poster for timetable updates. QR codes are increasingly used in public transport systems worldwide for ticketing, payments and accessing real-time information.

Na estação de trem, você escaneia o código no cartaz para atualizações de horário. Os códigos QR estão sendo cada vez mais usados em sistemas de transporte público em todo o mundo para bilhetagem, pagamentos e acesso a informações em tempo real.

Because QR codes are so widespread, scammers naturally find them appealing too. Here’s what you need to know to stay safe.

Como os códigos QR são tão difundidos, os golpistas naturalmente também os acham atraentes. Aqui está o que você precisa saber para se manter seguro.

What are QR codes?

O que são códigos QR?

A QR (quick response) code is a type of barcode that stores information and encoded data in a square pattern of black and white pixels. They were first developed in 1994 by Japanese company Denso Wave for labelling automotive parts.

Um código QR (quick response) é um tipo de código de barras que armazena informações e dados codificados em um padrão quadrado de pixels preto e branco. Eles foram desenvolvidos pela primeira vez em 1994 pela empresa japonesa Denso Wave para rotular peças automotivas.

Today QR codes are widely used because they’re quick to create and easy to scan without needing a specialised scanner – a smartphone camera will do. They’re designed to remove friction: you scan, and something happens instantly.

Hoje, os códigos QR são amplamente utilizados porque são rápidos de criar e fáceis de escanear sem a necessidade de um scanner especializado – a câmera de um smartphone é suficiente. Eles foram projetados para remover atrito: você escaneia, e algo acontece instantaneamente.

However, a QR code doesn’t show you where it leads until after it’s scanned. Your device can perform a range of functions after scanning a QR code: open up a web page, check you in to a location, or even connect your device to a wireless network without needing to type anything.

No entanto, um código QR não mostra para onde ele leva até ser escaneado. Seu dispositivo pode executar uma série de funções após escanear um código QR: abrir uma página da web, fazer check-in em um local ou até mesmo conectar seu dispositivo a uma rede sem fio sem precisar digitar nada.

That’s what makes it so useful, but also potentially risky. Malicious QR codes can redirect users to fake websites or prompt them to download harmful content. QR codes are so familiar and widespread, we tend to trust them without question. That’s exactly what scammers rely on.

É isso que o torna tão útil, mas também potencialmente arriscado. Códigos QR maliciosos podem redirecionar usuários para sites falsos ou induzi-los a baixar conteúdo prejudicial. Os códigos QR são tão familiares e difundidos que tendemos a confiar neles sem questionar. É exatamente nisso que os golpistas se aproveitam.

What to look out for

O que procurar

Phishing – where cyber criminals “fish” for sensitive information – is the most common type of cyber crime, typically sent by email or text. When a QR code is involved, that becomes “quishing” – short for QR phishing.

Phishing – onde cibercriminosos “pescam” informações sensíveis – é o tipo mais comum de crime cibernético, geralmente enviado por e-mail ou mensagem de texto. Quando um código QR está envolvido, isso torna-se “quishing” – abreviação de QR phishing.

Scammers now include QR codes in emails or text messages instead of clickable links. When scanned, the code directs users to fake login pages or payment sites. Because there’s no visible link, these messages can seem more trustworthy and can even bypass some email security filters.

Os golpistas agora incluem códigos QR em e-mails ou mensagens de texto em vez de links clicáveis. Ao serem escaneados, os códigos direcionam os usuários para páginas de login ou sites de pagamento falsos. Como não há um link visível, essas mensagens podem parecer mais confiáveis e até contornar alguns filtros de segurança de e-mail.

Malicious downloads

Downloads maliciosos

Some QR codes don’t just take you to a website – they trigger an app or file download, which could contain malware. This can give attackers access to your device, data or accounts. Because the action happens quickly, you may not have time to question whether the download is legitimate.

Alguns códigos QR não apenas levam a um site – eles acionam o download de um aplicativo ou arquivo, que pode conter malware. Isso pode dar aos atacantes acesso ao seu dispositivo, dados ou contas. Como a ação acontece rapidamente, você pode não ter tempo de questionar se o download é legítimo.

Fake QR codes in public places

Códigos QR falsos em locais públicos

One of the simplest methods to trick people involves placing a sticker with a fake QR code over a legitimate one. For example, scammers have been caught sticking fraudulent QR codes on parking meters. When drivers scan the code, they are taken to a fake payment page and asked to enter their card details. Posters, flyers and other signs in public places may also contain malicious QR codes.

Um dos métodos mais simples para enganar as pessoas envolve colocar um adesivo com um código QR falso sobre um legítimo. Por exemplo, os golpistas foram pegos colando códigos QR fraudulentos em parquímetros. Quando os motoristas escaneiam o código, são levados a uma página de pagamento falsa e solicitados a inserir os detalhes do cartão. Cartazes, folhetos e outros sinais em locais públicos também podem conter códigos QR maliciosos.

Redirect scams

Golpes de redirecionamento

Even when a QR code looks legitimate, it may redirect you through multiple websites before landing on a fake page. This makes it harder to detect suspicious activity. By the time you see the final page, it may look convincing enough to trust.

Mesmo que um código QR pareça legítimo, ele pode redirecioná-lo por vários sites antes de cair em uma página falsa. Isso torna mais difícil detectar atividades suspeitas. Quando você vê a página final, ela pode parecer convincente o suficiente para gerar confiança.

How to stay safe

Como se manter seguro

The good news is you don’t need to stop using QR codes. You just need to use them more carefully.

A boa notícia é que você não precisa parar de usar códigos QR. Você só precisa usá-los com mais cuidado.

Treat QR codes like unknown links. If you wouldn’t click a random link, don’t scan a random QR code.

Trate os códigos QR como links desconhecidos. Se você não clicaria em um link aleatório, não escaneie um código QR aleatório.

Check for signs of tampering. In public places, look closely at the code. Is it a sticker placed over another one? Does anything look out of place?

Procure sinais de adulteração. Em locais públicos, observe o código atentamente. É um adesivo colocado sobre outro? Algo parece fora do lugar?

Look at the web address before proceeding. Many phones now show a preview of the hyperlink retrieved via the QR code before opening it. Don’t just hit “go”, take a moment to check it looks legitimate.

Verifique o endereço web antes de prosseguir. Muitos telefones agora mostram uma prévia do hiperlink recuperado via código QR antes de abri-lo. Não apenas clique em “ir”, tire um momento para verificar se parece legítimo.

Avoid scanning codes from unsolicited messages. If you receive a QR code via email or text asking you to log in or make a payment, don’t use it. Go directly to the official website instead.

Evite escanear códigos de mensagens não solicitadas. Se você receber um código QR por e-mail ou texto pedindo para fazer login ou realizar um pagamento, não o use. Vá diretamente ao site oficial em vez disso.

Don’t rush to enter personal details. If a site asks for sensitive information, pause. Double-check you’re on the correct website.

Não tenha pressa em inserir dados pessoais. Se um site solicitar informações sensíveis, pause. Verifique novamente se você está no site correto.

Keep your phone updated. Security updates may sometimes feel like a nuisance, but they do help protect your device against malicious sites and downloads.

Mantenha seu telefone atualizado. As atualizações de segurança podem parecer um incômodo às vezes, mas elas realmente ajudam a proteger seu dispositivo contra sites e downloads maliciosos.

QR codes are not dangerous by themselves. They are useful tools that make everyday tasks easier. But they remove a key safety step: the ability to see where you’re going before you get there.

Os códigos QR não são perigosos por si só. Eles são ferramentas úteis que facilitam tarefas diárias. Mas eles eliminam uma etapa de segurança crucial: a capacidade de ver para onde você está indo antes de chegar lá.

The next time you scan a QR code, take a second to think. In a world where scams are getting smarter, the safest habit is simple – don’t trust the code and verify where it leads.

Da próxima vez que você escanear um código QR, tire um segundo para pensar. Em um mundo onde as fraudes estão ficando mais inteligentes, o hábito mais seguro é simples – não confie no código e verifique para onde ele leva.

Meena Jha does not work for, consult, own shares in or receive funding from any company or organisation that would benefit from this article, and has disclosed no relevant affiliations beyond their academic appointment.

Meena Jha não trabalha, não é consultora, não possui ações nem recebe financiamento de nenhuma empresa ou organização que se beneficiaria deste artigo, e não divulgou afiliações relevantes além de seu cargo acadêmico.

Read more