Quishing: QR Codes Falsos em Parquímetros, Multas e Cartas

O que é

Quishing (QR + phishing) é uma técnica em forte crescimento em Portugal desde 2024. Aproveita a confiança crescente em QR codes (menus, pagamentos, MB WAY) para esconder o destino real do link, já que o utilizador não vê o URL antes de abrir.

Como funciona

1. 1

   Autocolante sobreposto: O criminoso cola um QR code falso por cima do oficial em parquímetros EMEL, postos de carregamento eléctrico, painéis de informação ou ementas de restaurantes.

2. 2

   Carta física falsa: Recebe uma carta em casa que imita a AT, ANSR, CTT ou tribunais, com QR para pagar uma 'multa', 'taxa' ou 'levantar encomenda'.

3. 3

   Site clone: O QR abre uma página visualmente idêntica à oficial (EMEL, Via Verde, CTT, Portal das Finanças) a pedir cartão para pagar valor pequeno.

4. 4

   Captura de dados: Os dados do cartão são usados em compras fraudulentas ou para activar MB WAY no telemóvel do criminoso.

Exemplos reais

Como se proteger

• Antes de ler um QR code em espaço público, verifique se é autocolante sobreposto. Os QR oficiais estão impressos ou em chapa, nunca colados por cima.

• Use uma app de câmara que mostre o URL antes de abrir o link e leia o domínio com atenção.

• Para parques, use apenas as apps oficiais (ePark, Via Verde, Telpark) instaladas pela App Store / Play Store.

• Para multas reais, valide sempre no Portal das Contra-Ordenações Rodoviárias (portaldascontraordenacoes.mai.gov.pt) ou no Portal das Finanças com Chave Móvel Digital.

• Nunca pague nada por QR code recebido por carta sem confirmar pelo canal oficial da entidade.