Chegas ao parquímetro com pressa, o ecrã está riscado e mesmo ao lado há um autocolante limpinho com um código QR e a frase "pague aqui pelo telemóvel". Apontas a câmara, abre uma página com as cores da câmara municipal, introduzes os dados do cartão -- e nas horas seguintes começam a sair pagamentos que não fizeste. O autocolante não era do município. Era a isca.
O que é o quishing
Quishing é a junção de "QR" com "phishing". Em vez de te mandarem um link por SMS ou e-mail, escondem-no dentro de um código QR. Tu vês um quadrado preto e branco inofensivo, apontas a câmara e o telemóvel abre um endereço que não consegues ler antes de clicar. É exatamente essa a vantagem para o burlão: o QR esconde o destino. Um link escrito ainda dá para desconfiar de um domínio estranho; um QR não mostra nada até ser tarde.
O destino costuma ser uma página de phishing que imita uma entidade de confiança -- a câmara municipal, uma marca de estacionamento, um restaurante, a Autoridade Tributária. Pede-te os dados do cartão, o código de segurança e, muitas vezes, um código que te chega depois por SMS para "confirmar". Com isso, o burlão associa o teu cartão a uma carteira digital ou autoriza pagamentos. O mecanismo de base é o mesmo dos SMS falsos e do smishing, só que aqui a porta de entrada é física e está colada num sítio público.
Onde aparecem os QR falsos
O truque mais comum é o autocolante por cima do verdadeiro. O burlão imprime um QR e cola-o sobre o original, num equipamento que já tem credibilidade. Os locais preferidos repetem-se.
- Parquímetros e estações de carregamento. Um autocolante "pague pelo telemóvel" tapa o ecrã ou colocam-no ao lado, como se fosse oficial.
- Falsas multas no para-brisas. Um papel com aspeto de aviso de contraordenação e um QR "para pagar já com desconto" -- a pressa do desconto é a alavanca.
- Menus e ementas de restaurante. Substituem o QR do menu por um que pede "registo" com dados de pagamento.
- Cartazes, folhetos e e-mails. Um QR para "confirmar a entrega", "reembolso dos CTT" ou "atualizar dados do banco".
Repara no padrão: são sempre sítios onde pagar pelo telemóvel já parece normal, e onde tens pressa. Quando o pretexto é uma encomenda parada à espera de uma "taxa", estás diante da mesma engenharia da burla da encomenda dos CTT, agora vestida de quadrado preto e branco.
Como verificar um QR antes de pagar
A regra simples é não confiares no quadrado, mas no endereço para onde ele te leva. O telemóvel ajuda-te, se lhe deres um instante.
- Lê o URL antes de abrir. A câmara do iPhone e do Android mostram o endereço numa pré-visualização. Lê-o com calma e só toca se reconheceres o domínio.
- Confirma o domínio inteiro. Olha para a parte antes da primeira barra. "cm-lisboa.pt" é diferente de "cmlisboa-pagamentos.com". O domínio verdadeiro está no fim, antes do ".pt" ou ".com", nunca no meio.
- Desconfia de encurtadores. Endereços do tipo "bit.ly" ou "tinyurl" escondem o destino real. Numa entidade pública séria não fazem sentido.
- Verifica o autocolante. Passa o dedo: um QR colado por cima, com bolhas ou cantos levantados, é sinal claro de adulteração.
- Não introduzas dados do cartão num site aberto por QR. Para pagar estacionamento, usa a app oficial do operador, instalada da loja, e não a página que o quadrado abriu.
Se a página te pedir, além do cartão, um código que chegou por SMS para "validar", para tudo. Esse código é a autorização de uma operação a sair da tua conta -- nunca serve para "confirmar um pagamento que estás a receber" nem para "validar o estacionamento".
Sinais de alerta numa página aberta por QR
Mesmo que já tenhas aberto o link, ainda dá para travar antes de pagar. Estes sinais valem por si.
- O domínio não corresponde à entidade (erros de escrita, palavras a mais, terminação estranha).
- A página pede dados a mais: cartão, código de segurança, data de validade e ainda o teu número de telemóvel.
- Há um cronómetro ou um "desconto que expira em minutos" a meter pressa.
- O pagamento é por transferência imediata ou MB WAY para um número pessoal, e não pelos meios oficiais.
- O texto tem traduções estranhas ou um português trôpego.
Quanto mais destes sinais juntas, mais clara é a armadilha. Na dúvida, fecha a página e procura tu o site oficial da entidade.
Como denunciar um QR falso
Denunciar trava o esquema para a próxima pessoa e ajuda as autoridades a mapear os pontos atacados. Vale a pena o gesto.
- Avisa quem é dono do espaço: a câmara municipal no caso dos parquímetros, o restaurante no caso do menu. Muitos nem sabem que têm um autocolante colado por cima.
- Guarda provas: fotografa o autocolante, o equipamento e o endereço que abriu, antes de o removeres ou de avisar.
- Reporta o site malicioso ao Centro Nacional de Cibersegurança, que recolhe e ajuda a desativar páginas de phishing.
- Apresenta queixa à Polícia Judiciária ou ao Ministério Público pelo Gabinete de Cibercrime, sobretudo se já chegaste a introduzir dados ou a pagar.
Forjar uma página para te enganar e levar-te dinheiro cai no crime de burla informática, previsto no Código Penal. Não tens de provar nada juridicamente para participar -- basta descrever o que aconteceste e juntar as fotografias.
FAQ
Só por apontar a câmara ao QR já fui infetado?
Não. Apontar a câmara apenas lê o quadrado e mostra-te o endereço. O risco aparece quando abres a página e introduzes dados, ou quando instalas algo que ela te peça. Por isso a leitura do URL antes de tocar é a tua melhor defesa.
Como sei se um QR num parquímetro é verdadeiro?
Desconfia de qualquer autocolante colado por cima ou ao lado do ecrã. Os municípios em geral indicam claramente a app ou o número oficial de pagamento. Na dúvida, paga com moedas, com cartão direto no equipamento, ou pela app oficial instalada da loja, e não pelo QR.
A página pediu-me um código que recebi por SMS. Devo dá-lo?
Nunca. Esse código autoriza uma operação a sair da tua conta ou associa o teu cartão a um dispositivo do burlão. Nenhum pagamento legítimo que estejas a fazer precisa que tu repitas um código numa página aberta por QR.
Os QR em menus de restaurante são perigosos?
O QR do menu em si costuma ser inofensivo, serve só para ver a ementa. O alerta acende quando esse QR te pede um "registo" com dados de pagamento para veres a comida. Um menu não precisa do teu cartão.
Em resumo
O quishing aproveita a única coisa que um código QR esconde: o destino. Antes de pagar, lê o endereço, confirma o domínio até ao fim e desconfia de qualquer autocolante colado num parquímetro, numa multa ou num menu. Se já introduziste dados, liga ao banco e denuncia ao CNCS e ao Gabinete de Cibercrime. O quadrado não merece a tua confiança -- o endereço para onde ele aponta é que tem de a merecer.