Você provavelmente escaneou um QR Code hoje. Para pagar o almoço, acessar um cardápio, entrar num evento, autenticar um serviço. A adoção é massiva, a conveniência é real, e é exatamente por isso que cibercriminosos estão transformando QR Codes em armas de engenharia social cada vez mais sofisticadas.

Se você desenvolve aplicações que geram ou consomem QR Codes, este assunto é diretamente seu.

O problema que nenhum hover resolve

Links tradicionais têm uma vantagem que a gente subestima: antes de clicar, você pode inspecionar a URL. Passe o mouse, olhe a barra de status, verifique o domínio. Com QR Codes, essa camada de verificação simplesmente não existe. O usuário escaneia, o navegador abre, e o destino só é revelado depois que a requisição já saiu.

É como executar um curl sem saber o endpoint. Você faria isso em produção? Então por que fazemos isso dezenas de vezes por semana com o celular?

Iskander Sanchez-Rola, diretor de IA e Inovação na Norton, resume bem o cenário: códigos QR são ferramentas úteis, mas facilmente manipuláveis, e como o destino do link não é visível antes da interação, o redirecionamento para sites maliciosos acontece sem que o usuário perceba.

Anatomia de um golpe com QR Code: onde a engenharia social encontra o mundo físico

Os ataques não dependem de explorar vulnerabilidades técnicas complexas. Na maioria dos casos, o vetor é puramente humano. Os cenários mais recorrentes incluem:

Substituição física em espaços públicos. Um adesivo com QR Code malicioso colado por cima do original em totens de pagamento, mesas de restaurante ou pontos de ônibus. O usuário confia no contexto, e é exatamente isso que o atacante explora.

Promoções-isca em redes sociais e impressos. Ofertas irresistíveis que levam a landing pages clonadas, pixel por pixel, de marcas conhecidas. O objetivo: colher credenciais ou induzir transferências.

QR Codes em e-mails e mensagens com senso de urgência. Aquele clássico “verifique sua conta” ou “confirme seu pagamento”, só que agora com um QR Code no lugar do link, justamente para driblar filtros de e-mail que já aprenderam a detectar URLs suspeitas.

Pagamentos manipulados. Em contextos de Pix e carteiras digitais, um QR Code trocado pode redirecionar o pagamento para a conta do golpista sem que o pagador perceba até conferir o comprovante (se conferir).

Perceba: nenhum desses ataques exige quebrar criptografia ou explorar um CVE. O exploit é a confiança do usuário.

O que isso significa para quem desenvolve software

Se a sua aplicação gera QR Codes, para pagamento, autenticação, onboarding, compartilhamento de links, você tem responsabilidade sobre como esse código é apresentado e validado. Algumas reflexões práticas:

Assinatura e verificação. Considere implementar camadas de validação no destino do QR Code. Tokens temporários, checksums ou redirecionamentos via domínios verificados reduzem a superfície de ataque caso o código seja interceptado ou substituído.

Educação no fluxo. Se o seu app lê QR Codes, exiba a URL de destino antes de redirecionar. Parece trivial, mas a grande maioria dos leitores de QR Code nativos dos sistemas operacionais já fazem isso, e mesmo assim, muitos apps customizados ignoram essa etapa.

Contextualização de risco. Em fluxos de pagamento, mostrar claramente para quem o dinheiro está indo (nome, CNPJ, instituição) antes da confirmação não é feature, é obrigação.

Checklist de sobrevivência: orientações que valem repassar

Para além do código que você escreve, existe o fator humano, o seu, o da sua equipe e o dos seus usuários. As recomendações de segurança, reforçadas por especialistas como Sanchez-Rola, são diretas:

Desconfie de QR Codes em espaços públicos e fontes desconhecidas, principalmente se estiverem atrelados a promoções, pagamentos ou solicitações que você não iniciou. Verifique se não há adesivos sobrepostos ou sinais de adulteração.

Valide sempre pelo canal oficial. Recebeu um aviso pedindo para escanear um QR Code e confirmar dados? Vá direto ao site ou app oficial da empresa. Nunca confie no intermediário.

Inspecione a URL de destino. Se o leitor de QR Code mostrar o endereço antes de abrir, leia. Domínios estranhos, erros de digitação ou subdomínios suspeitos são sinais claros de phishing.

Urgência é red flag. Mensagens que pressionam por ação imediata, “sua conta será bloqueada”, “última chance”, são o ingrediente clássico da engenharia social. Respire antes de escanear.

Ferramentas de proteção como camada extra

Soluções como o Norton Scam Protection, presente no Norton 360 e alimentado por inteligência artificial, atuam como uma rede de segurança adicional: ao detectar que um QR Code direciona para um site malicioso, o bloqueio acontece antes que a página carregue. Não substitui o senso crítico, mas adiciona uma barreira importante, especialmente para usuários menos técnicos.

O QR Code não vai embora. A superfície de ataque também não.

A tendência é de expansão: mais serviços, mais integrações, mais dependência desse formato. Para desenvolvedores, isso significa que tratar QR Codes como um vetor de ataque legítimo deixou de ser paranoia e passou a ser higiene básica de segurança.

A próxima vez que você gerar um qrcode.toDataURL(), lembre-se: do outro lado, alguém vai confiar cegamente naquele quadradinho. Faça por merecer essa confiança.