O gesto é corriqueiro. Ir com a mão ao bolso, pegar no telemóvel, apontá-lo para um QR Code e deixar a tecnologia fazer o resto. Se as vantagens do pragmatismo destes códigos de barras em formato quadrado estão cada vez mais presentes no nosso quotidiano, as desvantagens também fizeram o seu percurso. Por isso, PSP e GNR alertam: este simples gesto esconde uma potencial burla.

Os dados das forças de segurança mostram que, por enquanto, os valores associados ao Quishing — burla batizada com uma mistura entre o Phishing e o QR Code — são ainda residuais. Mas a tendência verificada noutros países prevê que não se mantenha assim por muito tempo, o que levou polícias e militares a partilhar recomendações nas redes sociais, com poucos dias de diferença, sobre este fenómeno.

“Detetámos este novo fenómeno criminal através da cooperação policial internacional, porque a PSP está muito envolvida com a Europol e a Interpol, e este fenómeno está a aparecer com valores acima da média em alguns países europeus”, refere ao Observador o responsável pelo Núcleo de Cibercriminalidade da PSP.

Em Inglaterra, as autoridades receberam 1.386 queixas de diferentes pessoas, um aumento exponencial quando comparado com os 100 de 2019. A tendência também cresce nos Estados Unidos da América (EUA), onde 73% dos americanos inquiridos pela NordVPN assumiram que abrem estes códigos sem confirmar se a fonte é legítima.

Sem mencionar o Quishing, o próprio Relatório Anual de Segurança Interna (RASI), recém-divulgado, confirma a “continuidade do crescimento da cibercriminalidade”, que aumentou 13,4% no intervalo de um ano — em 2016 havia 801 crimes investigados e, no último ano, já foram registados 2.826 (mais 334 do que em 2024).

O documento que faz o raio-x à criminalidade nacional destaca que os ataques informáticos são realizados por “cibercriminosos”, que podem ser “atores estatais” ou “hackivistas”. Mas o chefe do núcleo da polícia que investiga estes crimes aponta uma diferença no Quishing, que também está acessível a quem possa ter um domínio mais superficial da tecnologia: “Hoje em dia, estas pessoas [hackers] já não precisam de ter grandes conhecimentos de informática. Conseguem criar QR Codes simulados e o resto não é nada complexo de fazer”, resume o Subintendente Ricardo Toscano.

Enquanto a PSP menciona números “muito residuais” de ocorrências relacionadas com esta burla, a GNR concretiza ao Observador os poucos casos registados nos últimos anos em Portugal. Este ano, até ao final de fevereiro, tinham sido registados dois casos por esta força de segurança. Em 2024 a GNR detetou cinco ocorrências durante todo o ano, valor que baixou para quatro no ano seguinte.

Desde que começou a notar este crime, em 2024, a GNR ainda não deteve nenhum dos 12 suspeitos sinalizados por este fenómeno, havendo apenas um homem constituído arguido nos últimos quase três anos.

A ameaça, como os códigos QR, está em todo o lado. “Falsas multas” e burlas em restaurantes

O Quishing é tão banal como os QR Codes que se encontram espalhados um pouco por todo o lado. Num cartaz a redirecionar para um programa festivo ou na mesa de um restaurante a apresentar o menu. Em cada um desses quadrados, ao qual a maioria das pessoas aponta o telemóvel sem pensar duas vezes, pode estar escondido um malware (um software malicioso).

O processo é simples: os cibercriminosos criam um QR Code que direciona para uma hiperligação maligna, ou que está programado para facilitar a invasão de um hacker ao aparelho que lê esse código. Depois de criado, é espalhado, tanto digitalmente — em emails ou publicações nas redes sociais — como fisicamente — em posters, flyers ou autocolantes. Muitas vezes, refere Ricardo Toscano, até são colados por cima de códigos legítimos em espaços públicos.

Mas é nos carros que se verifica uma das utilizações mais recorrentes deste esquema, refere o chefe da PSP, que baseia grande parte do conhecimento sobre o tema na cooperação internacional que a polícia portuguesa mantém de forma estreita com autoridades de outros países.

“Em alguns países, [os hackers] colocam, por exemplo, num carro que eventualmente pode estar mal estacionado. Eles deixam uma suposta multa, com QR Code, fazendo-se passar por entidades fiscalizadoras. E a pessoa, que pode estar mal estacionada, até pode pensar que efetivamente foi multada e paga. Mas está a dar dinheiro aos burlões quando, na realidade, nem foi autuada”, explica o responsável pelo Núcleo de Cibercriminalidade da PSP.

Apesar de ser simples de explicar, o combate a esta burla torna-se mais difícil pela quantidade de locais onde estes códigos podem ser encontrados sem levantar suspeitas à maioria das pessoas, que se têm habituado a usá-los com um elevado nível de confiança. “As falsas multas [nos carros] é o que mais existe. Também acontece em esplanadas grandes, que não são muito controladas pelos proprietários e os burlões conseguem colar esses códigos a simular menus dos restaurantes”, prossegue o PSP.

Normalmente, a acompanhar os QR Codes costuma estar uma descrição apelativa que leva as vítimas a digitalizar o código. Os burlões podem sugerir ofertas limitadas, grandes promoções ou informação que só ali se pode obter (como menus, audioguias ou mapas), descreve a NordVPN.

Assim que o telemóvel lê o QR Code, surge a sugestão de entrar num site falso ou, por vezes, é logo iniciado um download de malware. A partir desse momento, os cibercriminosos podem usar os dados recolhidos ou entrar nos telemóveis infetados para roubar a identidade da vítima, subtrair dinheiro ou avançar para ataques de phishing mais sofisticados.

Uma simples leitura do código pode dar “acesso a tudo o que temos no telemóvel”

Naturalmente, as consequências destas burlas também variam consoante o tipo de ataque que está na sua origem. “Podem-nos pedir referências de pagamento para qualquer coisa, como para comprar um artigo online. A pessoa pensa que está numa página fidedigna de outra empresa, mas está numa página clonada”, acrescenta Ricardo Toscano.

Mas o resultado dessa infiltração dos hackers até pode ser menos direto. “Às vezes, ao clicarmos nesse link, o nosso telemóvel não vai fazer nada. Não faz para nós, a olho nu, mas pode estar a instalar software malicioso que deixa os cibercriminosos com acesso a tudo o que temos no telemóvel”.

Enquanto o utilizador do telemóvel segue a sua vida, o suspeito pode estar, à distância, a seguir aquele aparelho através de um computador. “Imagine que nesse dia a pessoa acede à sua conta bancária e coloca os seus dados nas aplicações. O software malicioso lê tudo o que estamos a fazer no telemóvel, desde o email à password das finanças”.

Para o subintendente, este roubo mais discreto pode explicar a falta de queixas ou até a dificuldade em associar o momento em que se digitalizou o QR Code à burla em si. Até pode acontecer, acrescenta, alguém entrar numa destas hiperligações e não ser atacado.

A GNR explica que um estudo das ocorrências registadas na sua zona de responsabilidade confirma que os alvos são, sobretudo, utilizadores “em contexto de pagamentos rápidos (parquímetros, serviços online, compras) e cidadãos expostos a comunicações supostamente institucionais”. Os alvos são, de acordo com fonte oficial militar, maioritariamente “indivíduos com menor literacia digital ou em situações de urgência lhes é induzida”.

“No contexto em causa, trata-se essencialmente da compra e venda de produtos pelos lesados através de plataformas online dedicadas a esse fim, verificando-se, em alguns casos, a realização de supostas vendas e entregas presenciais. Registamos apenas um caso, da utilização do QR Code pelo lesado em suposto aliciamento de oferta”, responde a GNR.

Em muitos dos casos conhecidos pela PSP através do contacto com autoridades estrangeiras, as “pessoas acabam por não fazer denúncia”, porque clicam no link e “não acontece nada”. Normalmente, explica Ricardo Toscano, estas hiperligações têm uma validade muito curta, pelo que as vítimas podem não ser afetadas se, “por acaso ou por mera sorte”, enquanto dura a validade do ataque não digitarem dados pessoais.

“Às vezes, o fator sorte ajuda as vítimas, mas queremos deixar o alerta porque ainda por cima estamos quase no verão, que é uma altura em que as pessoas passam mais tempo em restaurantes, onde há estes códigos que as podem iludir. Sabemos que estas coisas rapidamente se espalham”, sublinha o responsável pelo Núcleo de Cibercriminalidade da PSP.

“Ia pagar o parque [de estacionamento], mas apercebi-me de que tinha sido burlado.” Milton reclama da inação das autoridades

Os casos de Quishing multiplicam-se por todo o mundo e já terão enganado, segundo o portal NordVPN, 26 milhões de pessoas que foram redirecionadas para conteúdo maligno. Além das polícias, esta burla já captou a atenção de agências governamentais.

Nos EUA, a Comissão Federal do Comércio (FTC, na sigla em inglês) lançou um alerta sobre Quishing associado a um modus operandi diferente que, ao contrário dos outros, vai ao encontro das vítimas. Segundo a agência da Casa Branca, foram registados casos de pessoas que receberam em casa supostas prendas que não tinham encomendado.

Nas caixas surgia um código falso com uma indicação a sugerir à pessoa que recebe a encomenda para digitalizá-lo, de forma a perceber quem é o remetente daquela prenda — ou para ter acesso a instruções sobre como devolvê-la, acabando por ser burlada. “Se sabe que é, realmente, uma prenda, pode ficar com ela. Mas saiba que uma encomenda inesperada pode ser uma reviravolta para uma burla que lhe rouba os dados pessoais”, explica a FTC.

Em Nova Iorque, a polícia lançou um alerta à população depois de ter encontrado um código QR colado junto a um painel de informações sobre estacionamento. “Este código é fraudulento e as pessoas não devem digitalizá-lo ou partilhar dados bancários através desta hiperligação”, avisaram. Em junho do ano passado, o então responsável pela divisão de trânsito da polícia local pediu aos nova-iorquinos para estarem “atentos” e “vigilantes”: “Se vir um destes códigos QR, não o digitalize e faça queixa”. No Hawai, uma companhia de eletricidade lançou o mesmo alerta depois de ter tomado conhecimento que havia burlões a usar este método para, fazendo-se passar pela empresa, roubarem pessoas.

No Reino Unido, Milton Haworth conta na primeira pessoa como foi apanhado neste esquema, ao digitalizar um código QR num parque de estacionamento. Foi imediatamente direcionado para fazer o download de uma aplicação na qual teve que pagar uma pequena quantia para verificar os dados bancários.

No entanto, em vez de pagar o parque de estacionamento, acabou a subscrever um serviço de 39 libras anuais (cerca de 44 euros) sem opção de ser reembolsado. “Assumi que ia pagar o parque, mas apercebi-me de que tinha sido burlado quando, no dia seguinte, reparei que tinha menos 39 libras na conta”, explicou à BBC.

Tal como muitas pessoas, Milton ainda não tinha ouvido falar “em burlas com códigos QR”. Para ele, o aumento exponencial dos casos no Reino Unido pode estar relacionado com a falta de preocupação das autoridades para este problema. “Ninguém parece querer saber. Parece que ninguém está a tentar encontrar estes burlões. Cabe às autoridades ir atrás deles, mas acho que não vão porque são valores pequenos, não são milhões. Mas, e se forem 39 libras por mês? E se forem milhões de pessoas burladas?”

Katherine Hart, diretora da Chartered Trading Standards Institute, uma das organizações mais antigas do mundo dedicada à proteção do consumidor, diz que este fenómeno representa um “desafio gigante” para as autoridades de todo o mundo, sobretudo por ser pouco denunciado.

“Já vimos enormes quantias de dinheiro perdidas com este esquema. Algumas pessoas já perderam as poupanças de uma vida. (…) Há quem perca 2,99 libras e não apresente queixa, sem se aperceberem de que acabaram de passar a sua informação a organizações criminosas”, disse à BBC.

A GNR explica ao Observador que a identificação dos autores destas burlas é dificultada pela: utilização, por parte dos cibercriminosos, de contas bancárias estrangeiras ou fintechs (empresas que combinam finanças e tecnologia) fora da jurisdição nacional; pela “utilização de contas intermédias para receber e movimentar o dinheiro”; pela natureza anónima dos QR Codes; pelo “alojamento dos sites fraudulentos em servidores fora da União Europeia”; pela “rápida dispersão do dinheiro” e pela “atuação de redes criminosas transnacionais”.

As técnicas para impedir que seja alvo destas burlas discretas

É por conhecerem esta realidade — e a assumirem como uma ameaça que, mais tarde ou mais cedo, pode chegar a Portugal — que a PSP e a GNR decidiram apostar na prevenção.

“[Na polícia] entendemos que estes fenómenos criminais facilmente se espalham pela Europa, até porque estamos a falar de questões digitais onde rapidamente um fenómeno que aparece na Alemanha ou na Holanda, por exemplo, passado uma semana ou duas facilmente se espalha pelo resto dos países europeus”, entende Ricardo Toscano.

https://observador.pt/2026/03/11/politicos-diplomatas-e-militares-alvo-de-ataque-a-escala-global-atraves-de-whatsapp-e-signal-acao-com-origem-em-hackers-russos/

Assim, o subintendente dá várias recomendações para quem não quer ser burlado. “Normalmente, a hiperligação pede para descarregar uma aplicação. Se a pessoa infelizmente já o descarregou, o conselho é desinstalar tudo do telemóvel, porque muitas das pessoas não têm conhecimentos para andar à procura deste ficheiro específico no telemóvel.”

Caso não consiga eliminar esse conteúdo, a recomendação é que se dirija “às lojas das operadoras”, onde terá essa ajuda. Em alguns telemóveis, recorda a PSP e a GNR, é possível alterar as definições para que não abra automaticamente hiperligações.

Outra solução posterior, caso já tenha clicado na hiperligação, pode passar por desligar logo o telemóvel. “À partida, isso poderá ajudar, mas ainda está a ser estudado se [os cibercriminosos] conseguem aceder com o dispositivo desligado. À partida, desligando o telemóvel, estamos a cortar o acesso”.

Preventivamente, há outros cuidados que as pessoas devem ter, que incluem ler atentamente o texto que acompanha o QR Code antes de lê-lo — “às vezes, as expressões não estão bem escritas e não têm o português correto” — e se, depois de aberto o código, a pessoa for redirecionada para um site, nunca deve colocar dados pessoais.

Independentemente do desfecho, as pessoas devem sempre fazer a denúncia às autoridades, para que o problema seja investigado com o maior número de dados possíveis. A NordVPN dá outras sugestões (caso já tenha sido afetado), como desligar o telemóvel da internet; não responder a mensagens ou chamadas; mudar as passwords; ou congelar a conta do banco.

https://observador.pt/especiais/mais-violacoes-prisoes-sobrelotadas-e-o-perigo-dos-influencers-de-extrema-direita-o-rasi-a-lupa/

“Fácil utilização” de aparelhos digitais potencia cibercrimes

Em 2025, de acordo com os dados do RASI, os crimes de burla, fraude e acesso ilegítimo a contas de plataformas de comunicação/redes sociais continuaram a aumentar e a previsão é de que não pare, “devido à crescente e fácil utilização de tecnologias digitais para múltiplas finalidades”.

“Estas tecnologias nem sempre dispõem de mecanismos de segurança adequados, circunstância que é explorada pelos criminosos, que recorrem à IA e à aplicação eficaz de técnicas de engenharia social para aproveitar as vulnerabilidades no sistema e a iliteracia digital das vítimas”, lê-se no relatório.

No último ano, aumentaram os crimes de “acesso indevido ou ilegítimo, interceção ilegítima” (+8,4%) e “falsidade informática” (+29,1%), o que ajuda a explicar o aumento de 28,5% no número de arguidos e de 88,6% de detidos associados à criminalidade informática.

Também numa tendência de subida está a criminalidade associada a meios de pagamento eletrónicos, como acontece no mercado das criptomoedas, cuja valor contabilizado da fraude ascende a mais de 14 milhões de euros.

A estratégia de prevenção que levou a PSP e a GNR a divulgar os alertas estende-se também à Polícia Judiciária que, no ano letivo de 2024/2025, criou a campanha “Missão Cibersegura” para, através de jogos, “capacitar crianças e jovens dos 10 aos 16 anos na identificação e mitigação de riscos online”.

Hoje, a própria PJ é liderada por Carlos Cabreiro, um especialista no combate ao cibercrime, que se tornou no primeiro diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) em 2016, cargo que desempenhava até ser chamado pelo primeiro-ministro para suceder a Luís Neves.

https://observador.pt/especiais/quem-e-carlos-cabreiro-o-novo-diretor-nacional-da-policia-judiciaria/

[As testemunhas, os relatórios, as fotos e os vídeos que desvendam como Renato Seabra matou Carlos Castro em Nova Iorque. “Os ficheiros do caso Carlos Castro”, o novo Podcast Plus do Observador, conta os bastidores nunca revelados da investigação a um crime brutal. Uma série em seis episódios, narrada pela atriz Joana Santos, com banda sonora original de Júlio Resende. Pode ouvir o primeiro episódio, aqui, no site do Observador, e também na Apple Podcasts, no Spotify e no Youtube Music]

[Notícia atualizada às 17h20 de sexta-feira (10 de abril de 2026) com as respostas e dados fornecidos pela GNR]