Assim que as pessoas começam a perceber um determinado tipo de burla, os criminosos recorrem a novas táticas para continuar a roubar dinheiro. Agora que as pessoas aprenderam a desconfiar dos links nas mensagens de texto, os burlões mudaram a isca e, em 2026, o «novo link» é frequentemente um código QR escondido num aviso falso.
A mais recente variante dos antigos esquemas fraudulentos relacionados com portagens não pagas e infrações de trânsito é especialmente dissimulada, pois parece mais oficial do que uma simples mensagem com um URL. Em vez de um link simples, as vítimas recebem uma imagem de uma notificação de um tribunal ou de uma agência e são instruídas a digitalizar o código QR para pagar uma multa relativamente pequena.
Essa pequena taxa faz parte do esquema. Parece tão barata que se paga rapidamente, e é precisamente por isso que o esquema funciona. Estes criminosos não querem que penses muito nisso.
Os elementos básicos do argumento nestas campanhas mais recentes são os mesmos: urgência, autoridade e um pagamento simbólico destinado a contornar a cautela.
O BleepingComputer relatou que os destinatários foram informados de que tinham uma infração de trânsito pendente e precisavam de agir imediatamente, enquanto o Cyber Safety Watchdog destacou a evolução deste esquema fraudulento relacionado com portagens.
Quer a mensagem mencione portagens, estacionamento ou infrações de trânsito, o importante é que se faz passar por uma autoridade governamental e pressiona o destinatário a tomar uma decisão precipitada, sem lhe dar tempo para verificar nada.
Por que é que os códigos QR ajudam os burlões
Os códigos QR proporcionam aos burlões uma camada adicional de dissimulação. Em vez de um link de texto visível, a vítima é levada a digitalizar um código incorporado numa imagem, o que reduz as probabilidades de uma análise imediata.
Os burlões sabem que as pessoas foram treinadas para identificar links óbvios, domínios suspeitos e e-mails mal redigidos. Por isso, transferem o conteúdo malicioso para imagens, avisos e códigos QR, e depois disfarçam tudo isso com a linguagem de uma entidade oficial.
Na campanha descrita pelo BleepingComputer, o código QR encaminhava inicialmente as vítimas para um site intermediário que apresentava um desafio CAPTCHA e, em seguida, redirecionava-as para uma página de phishing que se fazia passar pelo Departamento de Veículos Motorizados ou por uma agência estatal semelhante.
Essa etapa adicional do CAPTCHA existe para retardar qualquer análise automatizada. O objetivo final é fazer-se passar por uma instituição de confiança, criar uma sensação de urgência, cobrar uma pequena taxa e roubar os dados pessoais e financeiros na página de pagamento.
Em ambas as campanhas, os sites falsos solicitam nomes, moradas, números de telefone, endereços de e-mail e dados de cartões de crédito. Assim que esses dados são introduzidos, o esquema pode evoluir para roubo de identidade e fraude com cartões, e os dados podem ser revendidos a outros criminosos para a prática de novas fraudes.
O impacto dos esquemas fraudulentos é enorme
O Relatório Anual do IC3 de 2025 do FBI deixa claro que as operações fraudulentas não são um episódio secundário; são o evento principal. O IC3 recebeu mais de um milhão de queixas em 2025, e as perdas registadas ultrapassaram os 20,8 mil milhões de dólares.
Só o phishing e o spoofing foram responsáveis por quase 200 000 queixas, enquanto a usurpação de identidade de entidades governamentais atingiu 32 424 queixas e quase 800 milhões de dólares em perdas declaradas.
Esses números são importantes porque o esquema de fraudes nas portagens insere-se plenamente no mesmo ecossistema do phishing, da usurpação de identidade e da fraude nos pagamentos. Não se trata de um incómodo isolado. É um sinal claro de que a fraude cibernética faz parte de uma rede mais ampla de crime organizado.
Como se manter seguro
Os burlões estão a adaptar-se aos nossos hábitos mais rapidamente do que se imagina. Sempre que uma medida de defesa se torna amplamente conhecida, os criminosos ajustam ligeiramente o seu método.
É por isso que estas mensagens devem ser encaradas com a mesma desconfiança que qualquer outro pedido de dinheiro não solicitado.
- Verifique o número de telefone de onde vem a mensagem de texto. Alguns esquemas fraudulentos eram fáceis de ignorar porque provinham de números de telefone fora dos EUA.
- Procure o site em questão que está a ser alvo da alegada violação e compare o nome de domínio. Por vezes, a diferença é mínima, por isso verifique com atenção.
- Se considerar que a infração é plausível porque, de facto, circulou nessa zona, consulte o site oficial do serviço de portagens ou ligue para o número do serviço de apoio ao cliente.
- Se decidiu efetuar o pagamento, verifique se recebeu a confirmação do pagamento. As entidades oficiais enviam uma confirmação após receberem os pagamentos. Se não receber essa confirmação, contacte-as para verificar e tome as medidas adequadas caso suspeite de ter pago a burlões. Contacte imediatamente o seu banco e o Centro de Denúncias de Crimes na Internet do FBI, emic3.gov. Certifique-se de que inclui o número de telefone de onde a mensagem foi enviada e o site indicado na mensagem.
- Nunca interaja com o burlão de forma alguma. Qualquer reação fornece-lhe informações, mesmo que seja apenas a confirmação de que o número de telefone está em uso.
- Se receber uma mensagem suspeita, o Scam Guard pode ajudá-lo a identificar se uma mensagem de texto, um e-mail ou outra forma de comunicação é uma fraude e orientá-lo ao longo do processo.
- Utilize proteção antimalware atualizada e em tempo real, que bloqueará domínios maliciosos conhecidos.
Sejamos realistas, uma janela de navegação anónima tem as suas limitações.
Violações de segurança, comércio na dark web, fraude de cartões de crédito. Malwarebytes Identity Theft monitoriza tudo isto, alerta-o rapidamente e inclui um seguro contra roubo de identidade.
