Você recebe um SMS: "sua encomenda foi retida, confirme o endereço aqui" com um link. Ou um e-mail do "IRS" avisando que sua conta será bloqueada. Ou ainda um QR code colado no parquímetro onde você acabou de estacionar. Em todos esses casos, ninguém está invadindo o seu celular por força. O golpista está fazendo algo mais simples e muito mais eficaz: convencer você a entregar a senha, o número do cartão ou o acesso à conta. Isso se chama engenharia social, e ela aparece em três versões que vale conhecer.
O tamanho do problema é grande e oficial. Segundo a FTC, consumidores nos EUA relataram perder mais de US$ 12,5 bilhões para fraudes em 2024, uma alta de 25% sobre o ano anterior. Golpes de impostor (alguém fingindo ser seu banco, uma empresa ou um órgão público) foram a categoria mais reportada, com US$ 2,95 bilhões em perdas. E no relatório anual de 2024 do IC3, o centro de denúncias do FBI, phishing e spoofing apareceram como a queixa número 1 em volume, à frente de extorsão e vazamento de dados.
Como funciona
São três faces da mesma fraude. O phishing chega por escrito: e-mail ou SMS imitando seu banco, o USPS, o IRS ou uma companhia aérea, com um link que leva a um site falso de login. A CISA define isso como uma mensagem que se passa por uma organização confiável para roubar seus dados.
O vishing é a versão por voz, a ligação. O criminoso liga dizendo ser do "suporte do banco" ou de um órgão do governo. A FCC explica que o número que aparece na sua tela pode ser falsificado (o caller ID spoofing), inclusive imitando um número local da sua região para você confiar. E a FTC já alertou para uma variação cruel: golpistas usam IA para clonar a voz de um parente a partir de um trecho curto de áudio (às vezes pego de um vídeo postado online) e ligam fingindo uma emergência, pedindo dinheiro com urgência e sigilo.
O terceiro é o qshing (ou quishing), o QR code malicioso. A FTC alertou em dezembro de 2023 que criminosos escondem links perigosos dentro de QR codes. Há relatos de golpistas colando um adesivo de QR falso por cima do verdadeiro em parquímetros, cardápios, cartazes e até em "multas" deixadas no para-brisa. Em julho de 2025, o FBI/IC3 emitiu um alerta público sobre encomendas que você não pediu, enviadas sem dados do remetente, contendo um QR code: a ideia é fazer você escanear por curiosidade. Ao escanear, você costuma cair num site falso que pede dados pessoais e financeiros, ou é levado a baixar um aplicativo malicioso.
Uma observação honesta aqui: na maior parte dos casos, o QR sozinho não instala um vírus mágico no seu telefone. O dano vem do passo seguinte, quando você digita a senha no site falso, paga numa página falsa ou baixa algo. Por isso a defesa é tão simples: não dar esse passo seguinte.
Sinais de alerta
- Urgência e medo. "Sua conta será bloqueada", "encomenda retida", "voo cancelado", "multa de trânsito vencida". A pressa existe para você agir antes de pensar.
- Mensagem inesperada. Você não estava esperando aquele contato, aquela cobrança ou aquele pacote.
- Link ou anexo dentro da mensagem. A CISA recomenda nunca usar o contato que veio na própria mensagem suspeita.
- Pedido de dados por telefone. Banco de verdade não liga para pedir sua senha, código de 6 dígitos ou número completo do cartão.
- QR code que chegou de surpresa por e-mail, SMS ou numa encomenda não solicitada, ou um adesivo de QR que parece colado por cima de outro.
- "Multa de trânsito" por SMS. A FTC avisou (abril de 2026) que órgãos de trânsito normalmente não cobram multa por mensagem de texto com link ou QR.
Como se proteger
A regra de ouro cabe numa frase: pare, não clique nem escaneie, e confirme pelo canal oficial. Em detalhe:
- Não escaneie QR code de origem desconhecida nem em local público onde o código pode ter sido adulterado. Se parece colado por cima de outro, não use.
- Digite o site oficial à mão no navegador, em vez de clicar no link da mensagem. Para o banco, use o aplicativo que você já tem instalado.
- Confirme pelo canal oficial. Recebeu uma ligação ou e-mail do "banco"? Desligue e ligue para o número que está atrás do seu cartão ou no extrato, não para o número que apareceu na tela.
- Na ligação de "emergência" de um parente, a FTC recomenda ligar de volta para o número que você sabe ser o dela e fazer uma pergunta que só o parente real saberia responder.
- Ative a autenticação em dois fatores (2FA/MFA) nas suas contas importantes. A CISA estima que ativar o MFA deixa você cerca de 99% menos sujeito a uma invasão, mesmo que a senha vaze num phishing.
- Não atenda números desconhecidos e nunca passe dados pessoais numa ligação que você não iniciou, orienta a FCC.
Vale dizer com clareza para quem está se adaptando ao país: o golpista de impostor de governo aposta no seu receio de "dar problema com a autoridade". Hesitar por medo de encrenca é exatamente o que ele quer. Órgão público de verdade não exige pagamento imediato por SMS, QR code ou cartão-presente.
Se você já caiu
Acontece com muita gente, inclusive com quem é cuidadoso. Não perca tempo se culpando, aja:
- Trocou a senha? Mude já no site oficial e ative o 2FA. Se usava a mesma senha em outras contas, troque nelas também.
- Passou dados do cartão? Ligue para o banco pelo número do verso do cartão e peça para bloquear e contestar cobranças.
- Acha que vazou seu nome, número de Social Security ou documento? Use o IdentityTheft.gov da FTC para reportar e receber um plano de recuperação.
- Denuncie à FTC e ao FBI/IC3 (links abaixo). A denúncia ajuda a rastrear e a proteger outras pessoas, mesmo que você não recupere o dinheiro.
Onde denunciar e saber mais
- Denunciar fraude/golpe à FTC (formulário em inglês/espanhol; em português pelo telefone 877-382-4357, opção 3)
- Denunciar crime na internet ao FBI (IC3)
- Roubo de identidade: reportar e plano de recuperação (FTC)
- CISA — Reconhecer e denunciar phishing
- CISA — Ative a autenticação multifator (2FA)
- FCC — Ligações com número falsificado (caller ID spoofing)
- FTC — Golpes de emergência familiar (voz clonada por IA)
- FBI/IC3 — Alerta de encomendas com QR code (julho de 2025)
