Aquele QR Code colado na mesa do bar durante o jogo: você escanearia sem pensar?

Você está no bar, o jogo começou e a mesa tem um QR Code para acessar o cardápio, participar de uma promoção ou pagar a conta. No impulso, aponta a câmera e abre o endereço. Mas como saber se aquele QR Code falso não foi colado por cima do original?

O código pode pertencer ao estabelecimento. Também pode ter sido substituído por alguém interessado em direcionar clientes para uma página fraudulenta. Como o endereço fica escondido dentro da imagem, é fácil avançar sem conferir o destino.

O que você faria: abriria imediatamente ou pararia alguns segundos para verificar o adesivo e o link exibido pelo celular?

Por que um QR Code na mesa merece atenção

QR Codes são práticos porque transformam um endereço, texto ou pagamento em uma imagem que pode ser lida pela câmera. O problema é que a pessoa não consegue identificar visualmente o conteúdo armazenado antes de escanear.

Criminosos podem imprimir outro código e colá-lo sobre o adesivo verdadeiro. Essa prática é conhecida como quishing, uma variação do phishing baseada em QR Code. Em fevereiro de 2026, pesquisadores da Unit 42 relataram uma média superior a 11 mil detecções diárias de códigos maliciosos em suas análises.

Isso não significa que todo código encontrado em um local público seja perigoso. Significa apenas que a origem física do adesivo, sozinha, não confirma que o endereço seja legítimo.

Como um QR Code falso pode enganar você

Depois do escaneamento, o celular pode abrir uma página que imita o cardápio, o sistema de pagamento ou o programa de fidelidade do bar. Cores, logotipo e nome do estabelecimento ajudam a criar uma aparência confiável.

A página pode solicitar nome, telefone, CPF, senha ou dados do cartão. Em outros casos, promete Wi-Fi gratuito, desconto na conta ou participação em um sorteio. Essas abordagens usam links maliciosos para conduzir o usuário a uma ação que beneficia o golpista.

Também existe o risco de o endereço iniciar um download, pedir a instalação de um aplicativo fora da loja oficial ou solicitar permissões que não combinam com a finalidade apresentada.

Sinais de que o QR Code falso pode estar colado sobre o original

Antes de aproximar a câmera, observe alguns detalhes:

• adesivo torto, levantado ou com outra etiqueta por baixo;
• impressão diferente dos demais códigos do estabelecimento;
• endereço com letras trocadas, números ou palavras estranhas;
• página pedindo login para mostrar um simples cardápio;
• Solicitação imediata de cartão, Pix ou instalação de aplicativo.

O cadeado no navegador não confirma que o site pertence ao bar. Ele indica que a conexão está criptografada, mas páginas fraudulentas também podem usar esse recurso.

Leia mais: Transmissões da Copa 2026: como separar os links seguros dos perigosos.

Como se proteger antes de abrir o endereço

Pergunte a um funcionário se o código pertence ao estabelecimento, principalmente quando ele estiver colado em uma mesa, parede ou placa acessível ao público. Em pagamentos, confirme o nome do recebedor e o valor antes de autorizar a transação.

Após escanear, leia o endereço exibido na tela antes de tocar na notificação. Procure o domínio oficial da empresa e desconfie de versões com erros discretos ou termos como “promoção”, “grátis” e “urgente”.

Antes de abrir, uma camada adicional de verificação pode ajudar. O Detector de Links Perigosos do dfndr security analisa o endereço e alerta quando identifica possíveis ameaças, reduzindo o risco de acessar uma página suspeita por impulso.

O Chrome também pode mostrar avisos sobre phishing, malware e páginas enganosas por meio da Navegação Segura do Google. Essa referência oficial complementa a orientação sem substituir a conferência do endereço e da origem do código.

 

O que fazer depois de escanear um QR Code suspeito

Se você apenas abriu a página, feche-a sem aceitar notificações, permissões ou downloads. Verifique a pasta de arquivos baixados e apague qualquer item iniciado sem sua autorização.

Caso tenha informado uma senha, altere-a diretamente no aplicativo ou site oficial. Se essa combinação for usada em outras contas, troque-a também e ative a autenticação em duas etapas.

Dados de cartão ou informações bancárias exigem contato com a instituição pelos canais oficiais. Monitore as movimentações e nunca volte à página suspeita para tentar cancelar uma cobrança.

Também vale avisar o responsável pelo estabelecimento. Assim, o adesivo pode ser removido antes que outros clientes escaneiem o mesmo código.