Quishing: o que é e como evitar burlas por QR code

Como funciona um ataque de quishing

O atacante gera um QR code que aponta para um site clone (banco, EMEL, Via Verde, Portal das Finanças, CTT) e coloca-o num sítio onde a vítima espera ver um QR legítimo: autocolante sobreposto num parquímetro, carta enviada pelo correio, ementa de restaurante, autocolante num posto de carregamento de carros eléctricos.

Quando a vítima lê o código, abre a página falsa e introduz dados do cartão ou credenciais bancárias. O ataque é particularmente eficaz porque o QR code esconde o URL e porque as pessoas tendem a confiar em códigos impressos em contextos oficiais.

Onde aparecem os QR codes falsos em Portugal

• →Parquímetros EMEL (Lisboa) e similares, com autocolante por cima do oficial.
• →Postos de carregamento de veículos eléctricos (MOBI.E, Galp Electric).
• →Cartas em casa que imitam multas da ANSR, taxas da AT ou avisos dos CTT.
• →Ementas e mesas de restaurantes ou esplanadas.
• →Cartazes em paragens de autocarro, painéis publicitários ou montras.

Sinais de alerta antes de ler um QR code

• →Autocolante visivelmente colado por cima de outro código ou de uma chapa.
• →Bordos do autocolante mal alinhados, papel diferente do resto do equipamento.
• →Carta com QR para pagar valor pequeno e sem possibilidade de pagar por outro canal oficial.
• →QR a apontar para domínio com hífenes ou sufixos invulgares (.click, .top, .shop) em vez de .pt, .gov.pt ou .com oficial.
• →Pedido de dados de cartão para 'pagar uma taxa pequena' (1€ a 5€) sem possibilidade de validar pela app oficial.

Como ler um QR code com segurança

Use a câmara nativa do iPhone ou Android, mostra o URL antes de abrir o link. Leia o endereço com calma e confirme que pertence ao domínio oficial da entidade (ex.: emel.pt, ansr.pt, at.gov.pt, ctt.pt).

Evite apps de leitura de QR de origem desconhecida, algumas abrem o link automaticamente sem mostrar o URL.

Para pagar parques de estacionamento, use sempre as apps oficiais (ePark, Telpark, Via Verde Estacionar) instaladas a partir da App Store ou Play Store.

Cartas falsas com QR code

Estão a circular em Portugal cartas que imitam a Autoridade Tributária, a ANSR ou tribunais, com brasão oficial e QR para pagar multas ou taxas. As entidades oficiais nunca pedem pagamento exclusivamente por QR code.

Confirme sempre no Portal das Finanças, no Portal das Contra-Ordenações Rodoviárias ou pelo Cartão de Cidadão com Chave Móvel Digital. Em caso de dúvida, telefone para o número oficial da entidade (não o que vem na carta).

Perguntas frequentes

É seguro ler QR codes em restaurantes?

Geralmente sim, se o QR estiver impresso na ementa ou na mesa e o domínio corresponder ao restaurante. Desconfie de autocolantes soltos ou QR em locais de passagem (entrada, casa de banho).

Como sei se um QR num parquímetro é falso?

Os parquímetros EMEL e similares não exigem QR code para pagar, têm app oficial (ePark) e botão físico de Multibanco. Se vir um autocolante recente com QR a apontar para um site, ignore-o.

Recebi uma carta com QR para pagar multa, é verdadeira?

Multas reais em Portugal podem ser pagas no Portal das Contra-Ordenações Rodoviárias (portaldascontraordenacoes.mai.gov.pt) ou nos CTT. Nunca pague só por QR sem confirmar no portal oficial com Chave Móvel Digital.

O que faço se já paguei por um QR code falso?

Contacte imediatamente o banco para bloquear o cartão e contestar a transacção. Apresente queixa na Polícia Judiciária e comunique ao CNCS através de cncs.gov.pt.