Phishing usa nome de varejista famoso em 332 domínios

Uma nova e sofisticada campanha de phishing está circulando na internet, utilizando a marca e o prestígio de um marketplace famoso para enganar usuários com a promessa de um cartão de crédito nível “gold” com limite pré-aprovado de R$ 4.700,00 e zero anuidade. O esquema, que está implantado em 332 domínios, simula de forma convincente o processo de análise e aprovação online, e é finalizado com uma extorsão de valor sob a justificativa de custear o “envio” do cartão físico, além de comprometer dados pessoais sensíveis das vítimas. O esquema foi descoberto por pesquisadores da Swarmy, empresa brasileira especializada em soluções de segurança digital e antifraude.

Leia também
Alerta: golpe de phishing no PyPI
Fraude financeira em 60% dos sinistros cibernéticos

O golpe começa com uma promessa de análise de crédito simplificada, anunciando aprovação sem consulta aos órgãos de proteção ao crédito (SPC/Serasa) e um limite generoso para a maioria dos consumidores. Após a suposta aprovação imediata do cartão, a vítima é conduzida a uma tela de finalização. É nesse ponto que a fraude se consolida: para “receber o cartão físico e ativar o cartão virtual agora mesmo”, é exigido o pagamento de um frete no valor de R$ 45,90, especificamente via Pix.

Para pressionar a vítima e impedir que ela desconfie ou desista, os criminosos impõem um prazo curtíssimo para a transação: apenas dez minutos, com a ameaça explícita de que a falta de pagamento resultará no cancelamento da aprovação do crédito. O uso da urgência é uma técnica clássica de engenharia social para reduzir a crítica do usuário.

A equipe da Swarmy descobriu que a operação criminosa também faz coleta ilegal de dados. O processo de “análise” de crédito envolve a consulta com uma API externa que, a partir do CPF da vítima, é capaz de retornar informações detalhadas como nome completo, nome da mãe, data de nascimento e outros dados. Quando combinadas, essas informações podem ser utilizadas em ataques de phishing mais elaborados, criação de contas em bancos ou fraudes de identidade, tornando a vítima vulnerável a golpes futuros.