A Armadilha no QR Code

A noite de sexta-feira pulsava com a energia de uma semana de trabalho concluída. Mariana e seus amigos dividiam uma mesa em um dos bares mais badalados da cidade. O som das conversas se misturava à música ambiente e ao tilintar dos copos. Após algumas rodadas de drinks e petiscos, chegou a hora de ir embora. A conta veio, e no centro da mesa, um pequeno display de acrílico exibia um QR Code com a promessa: “Pague aqui, rápido e sem filas”.

“Ah, que prático”, pensou Mariana. Ela já estava acostumada. Em um mundo pós-pandemia, apontar a câmera do celular para um quadrado preto e branco havia se tornado um gesto tão natural quanto passar o cartão.

Ela abriu a câmera, enquadrou o código e o link apareceu na tela. Um clique. A página que se abriu era limpa, com a logo de uma conhecida plataforma de pagamentos. O valor da conta já estava preenchido: R$ 112,50, sua parte na divisão. Tudo parecia perfeitamente normal.

Ela digitou os dados do seu cartão de crédito – número, validade, código de segurança – e o nome do titular. Clicou em “Pagar”. A tela carregou por um instante e, em seguida, exibiu uma mensagem em vermelho: “Erro de processamento. Pagamento não autorizado. Por favor, tente novamente ou dirija-se ao caixa.”

“Droga, deve ser o sinal”, ela resmungou para os amigos. Sem pensar duas vezes, guardou o celular, levantou-se e foi até o balcão, onde pagou sua parte com o mesmo cartão, desta vez na maquininha do estabelecimento. A transação foi aprovada instantaneamente. Problema resolvido. A noite terminou com risadas e promessas de um próximo encontro.

O golpe não foi um estrondo. Foi um sussurro. Tão silencioso que Mariana só o notou na manhã de domingo, enquanto organizava suas finanças da semana no aplicativo do banco.

Havia algo estranho. Duas cobranças de sexta-feira à noite. Uma de R$ 112,50 para “Bar da Vila & Cia.”. Correto. E outra, feita dois minutos antes, no valor de R$ 350,00 para um beneficiário chamado “M.G. Serviços Digitais”.

O coração de Mariana gelou. Ela não conhecia nenhuma “M.G. Serviços Digitais”. Não havia comprado nada naquele valor. Ela vasculhou a memória, tentando encontrar uma explicação lógica, mas só havia o eco daquela mensagem de erro no celular.

Foi então que as peças se encaixaram com um clique doloroso. O QR Code. A página de pagamento. O “erro” conveniente.

Na segunda-feira, na hora do almoço, ela voltou ao bar. O display de acrílico ainda estava lá. Ela se aproximou e examinou o QR Code de perto. E então viu. A superfície não era lisa. Havia uma leve saliência, um brilho diferente nas bordas. Com a unha, ela puxou a quina do adesivo. Por baixo do QR Code falso, estava o verdadeiro, impresso diretamente no acrílico. Alguém simplesmente havia colado um adesivo malicioso por cima do código legítimo.

A armadilha era genial em sua simplicidade. O golpista não precisou invadir sistemas ou quebrar senhas. Ele só precisou de uma impressora de etiquetas e cinco segundos de distração de um funcionário para colar o adesivo.

A página que Mariana acessou era uma página de phishing, uma cópia perfeita de um gateway de pagamento. Ao digitar seus dados, ela não estava pagando a conta, estava entregando seu cartão de bandeja para um criminoso. O “erro” foi o toque final: a cortina de fumaça que a fez acreditar que nada havia acontecido, dando ao golpista tempo suficiente para usar os dados roubados em uma compra de valor mais alto.

O prejuízo de R$ 350,00 foi estornado pelo banco após uma longa disputa. Mas a verdadeira perda foi a sensação de segurança em um gesto cotidiano. Mariana nunca mais olharia para um simples QR Code da mesma maneira.

ARQUIVO DO CASO #004

• NOME DO GOLPE: Golpe do Falso QR Code / Quishing (QR Code Phishing).
• MÉTODO: Substituição física de um QR Code legítimo por um malicioso que direciona a vítima para uma página de phishing para roubar dados financeiros ou instalar malware.

Bandeiras Vermelhas (Como Evitar):

1. Examine o QR Code Fisicamente: Antes de escanear, especialmente em locais públicos, passe o dedo sobre o código. Verifique se não é um adesivo colado por cima de outro. Desconfie de códigos que parecem danificados, rasurados ou de baixa qualidade.
2. Confirme o Destinatário ANTES de Pagar: Quando a página de pagamento abrir, verifique com atenção o nome do beneficiário. Ele deve corresponder exatamente ao nome do estabelecimento. Se aparecer o nome de uma pessoa física ou uma empresa desconhecida, cancele imediatamente.
3. Verifique a URL do Site: Mesmo que a página pareça legítima, dê uma olhada rápida na URL no topo do navegador. Erros de digitação (ex: “MercodoPago” em vez de “MercadoPago”) ou domínios estranhos são sinais claros de fraude.
4. Pergunte ao Estabelecimento: Na dúvida, pergunte a um funcionário: “Posso pagar com o QR Code da mesa? Qual é o nome que deve aparecer como recebedor?”.
5. Use o App Oficial (se houver): Se o pagamento for via aplicativo (como iFood ou Rappi), sempre use o sistema de pagamento dentro do próprio app, e não um QR Code externo.

Fique por dentro de tudo no nosso Canal do WhatsApp!

Receba dicas exclusivas, alertas de segurança, novidades sobre Inteligência Artificial, cibersegurança e ofertas especiais de Certificados Digitais A1 confiáveis.

🔐 Garanta segurança e praticidade nas suas assinaturas digitais com os Certificados A1 da E-Certifica 360!

📲 Inscreva-se no canal oficial do WhatsApp e não perca nenhuma atualização: