Resposta rápida: smishing é phishing por SMS ou WhatsApp — mensagem urgente fingindo ser banco, Correios ou Receita com link falso. Golpe de QR code cola adesivo sobre QR legítimo em estacionamento ou poste redirecionando pagamento para conta do criminoso. Nunca acesse link de SMS suspeito; escaneie só QR de fonte confiável; confirme destinatário antes de PIX; ative 2FA no banco.
O que é smishing?
Nome vem de SMS + phishing. Criminal envia em massa: "entrega pendente", "bloqueio de conta", "IPTU com desconto". Link encurtado leva a clone do banco. Medo e urgência impedem você de checar URL. No Brasil, WhatsApp Business falsificado amplifica o vetor.
Diferente de e-mail, SMS parece íntimo — taxa de clique é alta. Bancos legítimos raramente pedem senha por link SMS.
Golpe do QR code: modus operandi
Criminoso cobre QR de estacionamento, bike share ou cardápio com adesivo impresso apontando para PIX de terceiro. Você paga achando que é municipal ou comercial. Variante: QR em panfleto "promoção" em parabrisa.
Em 2025–2026 autoridades brasileiras alertaram para surto em shoppings e ruas — sempre inspecione adesivo sobreposto e valor na tela do app antes de confirmar.
Sinais de alerta
- Urgência extrema ("conta bloqueada em 1h").
- Remetente genérico, não número oficial do banco.
- Link bit.ly ou domínio com typos (bradeesco vs bradesco).
- QR sem contexto ou colado por cima de outro.
- Pedido de instalar app fora da loja oficial.
Mais exemplos visuais no artigo exemplos de phishing.
Como reagir a SMS suspeito
- Não clique — abra app do banco digitado manualmente ou favorito salvo.
- Denuncie SPAM ao provedor e ao banco real.
- Apague sem interagir; bloqueie número.
- Se clicou e digitou senha: troque senha imediatamente, ligue ao banco, ative 2FA.
QR code com segurança
Prefira digitar URL conhecida ou usar app oficial do estabelecimento. Em estacionamento, compare QR com placa metálica oficial. Após escanear, leia domínio na barra — não só o preview. PIX: confira nome e CNPJ do recebedor.
2FA e camadas extras
Autenticação em dois fatores bloqueia transferência mesmo com senha vazada — desde que não seja SMS interceptável (SIM swap). Prefira app autenticador ou chave física no banco que oferecer. Guia: ativar 2FA.
Tabela: vetor vs proteção
| Ameaça | Proteção |
|---|---|
| Smishing link | Não clicar; app oficial; 2FA |
| QR falso PIX | Inspecionar adesivo; conferir recebedor |
| WhatsApp se passando por banco | Banco não pede senha no chat |
| Malware fake app | Só Play Store / App Store oficial |
Educação familiar
Idosos e menos familiarizados com tech são alvo frequente — explique sem jargon. Mostre exemplo real de SMS falso. Configure gerenciador de senhas e 2FA para parentes — qual gerenciador escolher.
Denúncia no Brasil
Registre boletim se houve prejuízo financeiro. Bancos têm canal de fraude 24h — tempo importa para reversão de PIX em alguns casos. Safernet e CERT.br divulgam campanhas atuais — consulte guia de cibersegurança.
Variações de smishing no Brasil
Correios e transportadoras: "taxa de importação" com link encurtado. Bancos digitais: falsa confirmação de PIX recebido pedindo devolução. Receita Federal: restituição de IR com prazo falso. WhatsApp de número desconhecido com áudio clonado por IA pedindo urgência — novo vetor em 2025–2026. Regra de ouro: nenhuma instituição séria pede senha ou token por mensagem.
Golpe do motoboy e entrega falsa
Além do QR, golpistas ligam após SMS de "compra aprovada" e enviam entregador para buscar cartão — banco nunca faz isso. Outro modus: pacote na porta com QR para "confirmar entrega" que é cobrança. Desconfie de entrega não solicitada; fotografe etiqueta e contate loja pelo site oficial, não pelo número no bilhete.
Proteção no celular corporativo e pessoal
Separe perfil de trabalho se MDM permitir. Bloqueie remetentes SPAM; iOS e Android filtram parcialmente. Não instale APK de "atualização de segurança" por link. Em iPhone, Lockdown Mode é extremo — para alvos de alto risco. Funcionários de TI devem treinar família — vetor doméstico compromete VPN corporativa no mesmo Wi-Fi.
QR em eventos e pagamentos legítimos
Pix copia e cola e QR estático em comércio são seguros se gerados na maquininha na sua frente. Evite QR impresso em folha solta em feira sem identificação do vendedor. Em estacionamento rotativo municipal, prefira app oficial da prefeitura digitando placa — confirme na loja de apps com avaliações reais.
Plano de resposta se caiu no golpe
- Desligue Wi-Fi/dados se instalou app suspeito.
- Troque senhas de e-mail e banco em outro dispositivo limpo.
- Ative ou revise 2FA.
- Contate banco e registre ocorrência policial para PIX.
- Monitore CPF em serviços de alerta de vazamento.
Compare padrões visuais com exemplos de phishing — smishing é o mesmo teatro em canal diferente.
Campanhas públicas e conscientização
Bancos e Febraban publicam alertas sazonais — Black Friday e Dia das Mães concentram golpes de entrega. Escolas e universidades podem incluir smishing em educação digital. Compartilhar print anonimizado de SMS falso com família vale mais que ler artigo sozinho — vítima evitada é vitória coletiva.
Regra de ouro em uma frase
Nenhum link de SMS ou QR desconhecido vale mais que abrir o app oficial digitado manualmente ou ligar para o número no verso do cartão — quando em dúvida, pare e confirme. Combine com 2FA e guia de cibersegurança para camadas completas.
WhatsApp Business falso e golpe do motoboy
Criminosos clonam foto de perfil de loja e pedem pagamento antecipado via PIX — não é smishing clássico mas combina urgência e link. Golpe do motoboy envia SMS de "entrega" exigindo taxa — Correios oficiais têm rastreador no site digitado manualmente. Desconfie de número +55 genérico sem nome da operadora logística real.
QR em eventos e feiras
Stand promocional com QR para sorteio pode ser legítimo — ainda assim prefira digitar domínio da marca se impresso em papel solto. Em feira de tecnologia, stickers maliciosos aparecem em tomadas públicas de carregamento — não escaneie QR em adesivo anônimo "Wi-Fi grátis".
Proteção empresarial e BYOD
Funcionários com celular corporativo devem ter MDM que bloqueia sideload e alerta links — smishing alvo executivos (spear smishing) pede transferência urgente fingindo ser CEO. Treinamento trimestral supera só firewall. Política clara: nenhum PIX por instrução só SMS.
Recuperação pós-golpe
Troque senhas de e-mail e banco de dispositivo limpo — malware pode persistir. Notifique banco em até minutos para PIX; MED (Mecanismo Especial de Devolução) tem janela curta. Registre BO para seguro e para banco processar internamente. Compartilhe print censurado com família para ninguém repetir — educação coletiva reduz dano.
Lista de verificação anti-smishing
Antes de clicar em qualquer SMS: o remetente é número curto oficial? A URL coincide com domínio que você digitaria manualmente? Há pressão emocional extrema? Se qualquer resposta for suspeita, pare. Bancos publicam lista de canais oficiais no site — salve nos favoritos, não nos links de mensagem.
Apps e permissões no celular
Revogue permissão de SMS para apps desconhecidos. Ative filtro de spam do Android e iOS. Não instale APK de "rastreador de encomenda" pedido por mensagem — malware lê SMS de banco. Mantenha sistema atualizado; patches fecham exploits usados em conjunto com engenharia social.
Perguntas frequentes
Banco manda SMS com link?
Quase nunca para login — desconfie sempre.
QR do restaurante é seguro?
Geralmente sim se impresso no cardápio oficial, não adesivo suspeito.
Perdi dinheiro no PIX golpe?
Contate banco imediatamente; recuperação não é garantida.
2FA por SMS basta?
Melhor que nada; app autenticador é mais forte.
Como ensinar pais?
Regra: nunca clicar; ligar para você antes de pagar.
