Sequestro por redirecionamento em QR: o intermediário invisível

Cada QR dinâmico que você já escaneou envolveu um terceiro que você nunca escolheu. Entre a câmera do celular e o site de destino, um servidor de redirecionamento do provedor do QR repassou a requisição em silêncio. A maioria dos usuários nunca nota. É esse o ponto.

Este artigo explica como o sequestro por redirecionamento se manifesta na prática, o que o intermediário realmente faz e o que está em jogo.

A sequência de redirecionamento

Ao escanear um QR estático para https://shop.example.com:

1. A câmera lê o QR
2. O SO reconhece como URL
3. O navegador abre https://shop.example.com

Três passos. Nenhum terceiro.

Ao escanear um QR dinâmico para o mesmo destino:

1. A câmera lê o QR, que codifica algo como https://qr-provider.com/r/x7n2
2. O SO abre essa URL
3. qr-provider.com recebe a requisição, registra-a, busca x7n2 na base
4. qr-provider.com emite redirecionamento 301 ou 302 para https://shop.example.com
5. O navegador segue o redirecionamento e chega ao destino real

Cinco passos. Um terceiro extra no passo 3 — um que você nunca aceitou, nunca pagou e não vê.

O que o intermediário ganha

Cada escaneamento produz um log de servidor contendo:

• Timestamp do escaneamento
• Endereço IP do scanner
• String user-agent (dispositivo, SO, navegador)
• Cabeçalho Referrer (de onde veio o scanner, quando aplicável)
• Cabeçalho Accept-Language (idioma preferido)

A partir disso, o provedor infere: localização geográfica aproximada, tipo de dispositivo, versão do sistema operacional e, em agregado, padrões de escaneamento ao longo do tempo. Para clientes, é vendido como "analítica". É, igualmente, vigilância das pessoas que escaneiam seus códigos — que nunca consentiram.

O que o intermediário pode fazer

Trocar o destino

O destino do redirecionamento vive na base do provedor. O dono do QR geralmente pode editá-lo via painel. É vendido como funcionalidade, e para alguns casos é mesmo. Mas significa que o QR já não é o que parece. O artefato físico diz "escaneie para visitar nosso site". O comportamento real é o que a base do provedor disser hoje.

Desligar o redirecionamento

Se a assinatura do dono vencer, a conta fechar ou os termos forem violados, o redirecionamento pode ser retirado. Cada cópia impressa do QR deixa de funcionar imediatamente. O scanner vê uma página de erro genérica ou 404.

Inserir uma página intermediária

Alguns provedores passam os escaneamentos do QR dinâmico por uma página intermediária com marca própria antes do redirecionamento final — com anúncios, pedindo consentimento, coletando e-mails. O dono do QR geralmente não se inscreveu nisso. É adicionado depois, à medida que o provedor monetiza mais agressivamente.

Vender ou perder os dados de escaneamento

Logs de escaneamento têm valor. Já foram vendidos a corretores de analítica, usados para treinar modelos de segmentação publicitária e — em pelo menos alguns incidentes documentados — vazados quando provedores foram comprometidos. Seus clientes escanearam um cardápio; agora a impressão digital do dispositivo deles vive num dump de vazamento.

Por que os usuários nunca percebem

Navegadores modernos seguem redirecionamentos automaticamente. Sem as ferramentas de desenvolvedor abertas, você não vê o pulo intermediário. O escaneamento parece instantâneo porque redirecionamento é rápido (quando funciona). Do ponto de vista do usuário, um QR dinâmico se comporta idêntico a um estático.

Até que o servidor de redirecionamento caia. Aí a experiência diverge bruscamente — mas nesse momento o QR já está impresso em mil superfícies.

Implicações de segurança

Um servidor de redirecionamento é ponto único de falha para todo QR que dependa dele. Três superfícies de ataque que vale considerar:

• Invasão de conta. Se um atacante obtiver acesso à conta do dono no provedor, pode redirecionar cada QR para uma página de phishing. Clientes escaneiam o código físico esperando o cardápio e pousam num clone que coleta credenciais.
• Comprometimento do provedor. Se o próprio provedor de QR for invadido, cada QR dinâmico em circulação potencialmente é reapontado para conteúdo controlado pelo atacante. Não é teoria — há divulgações de violação em vários provedores de QR-as-a-service.
• Falha de DNS ou TLS no provedor. Se o domínio de redirecionamento deixar de resolver ou o certificado TLS expirar, cada QR dependente falha. Sem ator malicioso — só risco operacional comum que o dono do QR não controla.

QR estáticos não têm nenhum desses modos de falha, porque não há servidor de terceiro entre o escaneamento e o destino.

Como checar se você está escaneando um redirecionamento

Use um scanner que mostra o conteúdo decodificado antes de abrir — nosso scanner web faz isso. Escaneie o QR e inspecione a URL decodificada. Se é seu destino real, o QR é estático. Se é algo como qrco.de/xyz ou um domínio curto que você não reconhece, é um redirecionamento — e tem um terceiro no meio.

A alternativa

Gere QR que codificam o destino direto. Sem servidores de terceiros, sem logs de redirecionamento, sem assinatura. Comparação completa em QR estáticos vs dinâmicos, e por que o modelo do intermediário domina em A verdade sobre os golpes com QR.

Ou simplesmente gere um QR estático e pare de se preocupar.