Golpes Digitais em Destaque: Fique Atento às Novas Táticas de Fraude
À medida que avançamos no ano, os golpistas continuam a aprimorar suas táticas. Felizmente, para a maioria dos golpes novos e variações de esquemas antigos, estar ciente da ameaça já é o suficiente para se proteger. A seguir, detalhamos algumas das fraudes mais recentes que você precisa conhecer.
Golpe dos Pedágios Não Pagos (Unpaid Tolls Scam)
Este golpe geralmente se manifesta através de mensagens de texto. Você pode receber uma mensagem alegando ser de um sistema regional de pagamento de pedágio, como EZ-Pass ou FasTrack, dependendo da sua localização. O texto informa que você tem um valor pendente em faturas e ameaça com a suspensão da sua licença ou aplicação de multas se o pagamento não for efetuado rapidamente.
A mensagem conterá um link que leva a um site de phishing falso. Se você inserir suas informações de pagamento neste site, os golpistas roubam os dados do seu cartão e os utilizam para fazer compras fraudulentas.
E-mail Falso do PayPal com Adição de Endereço
Este é um golpe por e-mail que utiliza o domínio legítimo do PayPal. A mensagem informa que um novo endereço foi adicionado à sua conta, junto com detalhes de um pedido que você supostamente realizou e pelo qual será cobrado.
A tática engenhosa reside no corpo do e-mail. Ele instrui a vítima a entrar em contato com um endereço de e-mail de suporte ou acessar um site. Em alguns casos, a instrução final é baixar um software de controle remoto, o que permite aos golpistas invadir seu computador.
A lógica por trás da fraude é fazer a vítima acreditar que sua conta PayPal foi comprometida. O que realmente acontece é que os golpistas adicionam um “endereço de presente” à conta deles, inserindo seu endereço de e-mail no campo de endereço do remetente. Dessa forma, a notificação do sistema é disparada para você, e a mensagem de golpe fica incorporada ao campo de endereço que eles preencheram.
Golpe do Comando “Executar” do Windows (Windows Run Command Scam)
Este golpe começa frequentemente em um site fraudulento que você visita sem querer. O site apresenta instruções alegando que, por algum motivo específico, você deve pressionar a combinação de teclas Windows + R para abrir a caixa de diálogo “Executar” (Run).
Em seguida, é solicitado que você pressione Control + V seguido de Enter. Isso cola um comando que foi copiado para a sua área de transferência dentro da caixa “Executar” e o executa no Windows.
Os golpistas adicionam texto “dummy” (fictício) no final do comando. Esse texto extra faz com que o comando real, que está à esquerda, transborde e fique oculto, impedindo que você veja o que será executado. O comando real, na verdade, baixa e executa um arquivo de vírus no seu computador, com consequências desconhecidas.
Regra de ouro: Se qualquer site instruir você a abrir a caixa Executar e rodar um comando no seu computador, não o faça.
Golpe do “Eu Acidentalmente Denunciei Você” (I Accidentally Reported You Scam)
Embora não seja novo, este golpe está se espalhando por mais plataformas, sendo comum em ambientes como Steam e Discord, mas agora atingindo o Twitter, e provavelmente outras redes sociais.
A mecânica é similar em todas as plataformas: você recebe uma mensagem de um usuário aleatório com uma história variável que sempre termina com a alegação de que eles denunciaram sua conta por engano. Eles afirmam ter recebido um e-mail ou mensagem de confirmação dizendo que sua conta será banida, e querem “ajudar” para evitar isso.
Ao responder, a próxima etapa envolve ser direcionado a contatar outra conta, que supostamente seria um administrador ou suporte do site.
Ao contatar este suposto administrador, eles dirão que você precisa “verificar” sua conta, geralmente mediante um pagamento em dinheiro, sob alguma justificativa. O objetivo final é forçá-lo a pagar.
É importante lembrar que os sistemas de denúncia de qualquer plataforma séria passam por um processo de revisão e são projetados para lidar com denúncias falsas. Não há necessidade de pagar para verificar sua conta nesses cenários.
Golpe de Pedido Falso do Shopify
Recentemente, observou-se um golpe onde o fraudador consegue criar uma notificação falsa de pedido no aplicativo Shopify, e, em alguns casos, até mesmo inserir um pedido falso no seu histórico de compras dentro do app.
A notificação pode parecer normal, como “Seu pedido do Centro de Ajuda está pronto para envio”. Ao verificar o pedido, ele mostra uma compra de valor alto (ex: $1000) para um nome sem sentido, e o nome da loja é genérico (ex: “Help Center”).
O golpe não está na cobrança real (pois não há cobrança no seu cartão), mas sim na coordenação deste evento com outro contato. Simultaneamente à notificação do Shopify, a vítima recebe um e-mail (por exemplo, de um suposto serviço de entrega como FedEx), também mencionando o “Centro de Ajuda”, pedindo para que você entre em contato com um endereço de e-mail Gmail (o que já é um grande sinal de alerta) para “verificar” algo sobre o envio.
Se você receber uma confirmação de pedido do Shopify sem cobranças reais nas suas contas, provavelmente é uma tentativa de fazê-lo contatá-los para supostamente cancelar o pedido, momento em que eles tentarão obter informações pessoais.
Golpes de Autorização de Aplicativos (App Authorization Scams)
É crucial ter cautela ao conceder permissões a aplicativos, especialmente ao usar o login social (como “Entrar com Google” ou “Entrar com Twitter”).
Neste golpe, o fraudador cria um aplicativo falso que imita um serviço legítimo (por exemplo, um aplicativo do Google Calendar falso). O aplicativo falso usa o mesmo nome e ícone do original. Ao autorizar o que parece ser o serviço real, você concede ao golpista acesso total à sua conta.
Um exemplo extremo envolveu a criação de um aplicativo falso do Google Calendar. Ao autorizá-lo, o golpista obteve acesso completo à conta do usuário e começou a postar golpes em seu nome.
Outra variação ocorre em plataformas de jogos. Existem transmissões falsas de jogos como Counter-Strike, que se passam por profissionais, exibindo um código QR para que os espectadores escaneiem e recebam “skins” gratuitas. Ao escanear e ser solicitado a fazer login com a conta Steam, o usuário concede acesso que permite aos golpistas roubar todo o inventário do jogo, que possui valor real.
Abuso de Sistemas de Notificação Legítimos
Os golpistas estão explorando sistemas de notificação de sites confiáveis para evitar filtros de spam.
Notificações Falsas do Google Drive
Você pode receber um e-mail de notificação do Google Drive informando que um documento foi compartilhado com você. Os golpistas nomeiam o documento com termos que remetem a instituições financeiras (como Wells Fargo) ou escritórios de advocacia, acompanhados de uma mensagem urgente.
O conteúdo malicioso geralmente está em um PDF anexado que contém um link para um site de phishing. O uso do domínio google.com para a notificação torna muito menos provável que o e-mail caia na caixa de spam em comparação com um domínio desconhecido.
Notificações Falsas de Compartilhamento de Vídeo Privado do YouTube
Este golpe, direcionado a criadores de conteúdo, envolve uma notificação do YouTube alegando que um vídeo privado foi compartilhado com você. O vídeo falso tem um título enganoso, como “Mudanças na política de monetização, verifique a descrição”.
Ao acessar o vídeo e ler a descrição, você provavelmente encontraria um link solicitando que faça login para “verificar sua conta”. O canal que enviou a notificação pode até ter um nome que parece oficial (ex: “Notificação para Criadores do YouTube”). O objetivo é o mesmo: usar a credibilidade da plataforma para contornar os filtros de spam.
Conclusão: A simples verificação de que o e-mail veio de google.com ou youtube.com não é mais uma garantia de legitimidade.
E-mails e Mensagens de Phishing Aprimoradas por IA
Graças à Inteligência Artificial, e-mails de phishing e patrocínio soam incrivelmente legítimos.
Para criadores de conteúdo, têm surgido e-mails falsos de patrocínio, como os que alegam ser da Nvidia. Esses e-mails são bem escritos e elaborados por IA. A intenção final é fazer você entrar em contato, receber um “acordo” ou contrato que, na verdade, contém um vírus.
Outras empresas como Sony e Logitech também são citadas em esquemas similares, com layouts profissionais. Nesses casos, a verificação do endereço do remetente é crucial, pois frequentemente eles utilizam domínios de provedores de e-mail gratuitos.
O golpe não se limita a e-mails; mensagens diretas (DMs) no Twitter também estão sendo usadas. Golpistas se passam por gerentes de Relações Públicas de empresas, chegando a usar contas verificadas (que no Twitter, hoje, têm menor peso de autenticidade). Essas contas falsas costumam apenas retuitar o conteúdo da empresa original para parecerem legítimas, mas não possuem associação real.
Websites de Golpe com Aparência Perfeita
Os sites fraudulentos estão cada vez mais sofisticados, imitando perfeitamente os originais, graças à IA.
Um exemplo recente é uma campanha de vírus que exige a atualização do navegador Chrome. O site falso é idêntico ao oficial do Chrome e atinge tanto usuários de Windows quanto de macOS. Se você estiver no macOS, o site pode até fornecer instruções detalhadas sobre como clicar com o botão direito, abrir e executar o arquivo, solicitando sua senha.
Ao fazer isso, você instala um “stealer” (ladrão de dados). Este tipo de malware rouba todos os cookies de sessão do seu navegador. Como resultado, os golpistas obtêm uma cópia completa dos seus logins. Eles não precisam das suas senhas; eles já estão logados nas suas contas quando os dados são transferidos para o computador deles.
Dicas Gerais de Segurança
É importante abordar algumas recomendações de segurança mais amplas.
Proteção Telefônica
Com a prevalência de robocalls e golpes por telefone, a melhor abordagem é não atender chamadas de números desconhecidos, a menos que seja esperado ou necessário para o trabalho. Se a chamada for realmente importante, a pessoa deixará um recado de voz.
Em iPhones, considere ativar a função que silencia chamadas de números que não estão na sua lista de contatos, enviando-as diretamente para o correio de voz.
Proteções no Computador
- Google Chrome: Recomenda-se ativar a função “Proteção Aprimorada” (Enhanced Protection) nas configurações de “Privacidade e Segurança” > “Segurança”. Esta proteção é mais rápida e em tempo real para detectar sites fraudulentos, baseando-se em listas mais atualizadas do que as listas de verificação periódicas.
- Microsoft Edge: Existe uma configuração similar em “Privacidade, Pesquisa e Serviços” chamada “Melhorar Minha Segurança na Web” (Enhance My Security on the Web). Configure-a como “Equilibrada”. Ela habilita proteções extras que podem ocasionalmente quebrar um site, mas isso só ocorrerá em páginas que você não visita frequentemente.
- Bloqueador de Scareware no Edge: O Microsoft Edge possui um recurso chamado “Bloqueador de Scareware” que utiliza IA para detectar sites falsos de suporte técnico ou outros tipos de fraude. Ele pode identificar um golpe mesmo que o site ainda não esteja nas listas de bloqueio convencionais.
Perguntas Frequentes
- O que fazer se eu receber uma mensagem sobre pedágio não pago?
Ignore a mensagem de texto. Não clique em nenhum link. Se houver uma dívida real, você será notificado pelos canais oficiais do órgão regulador de trânsito, não por SMS de terceiros. - Como posso verificar se um e-mail do PayPal é autêntico?
Verifique sempre o endereço do remetente para garantir que não é um domínio falsificado e nunca confie em links que pedem para baixar software de acesso remoto ou confirmar informações sensíveis através de um link fornecido no corpo do e-mail. - É possível que um site de atualização de navegador seja legítimo?
Embora navegadores precisem de atualizações, nunca realize atualizações de software essenciais através de links recebidos em pop-ups ou em sites desconhecidos. Acesse sempre o site oficial do navegador ou utilize o gerenciador de atualizações nativo do seu sistema operacional. - Por que os golpistas usam notificações do Google Drive para aplicar golpes?
Eles utilizam o domíniogoogle.compara que a notificação se assemelhe a uma comunicação legítima, aumentando a chance de passar pelos filtros de spam e ser aberta pela vítima. - Qual a melhor forma de me proteger contra golpes de autorização de aplicativos?
Sempre revise cuidadosamente as permissões solicitadas ao autorizar um login social. Se o aplicativo parecer desconhecido ou as permissões forem excessivas para a função prometida, recuse a autorização.
