Novos Golpes para Ficar Atento em 2026
Com a chegada de um novo ano, surgem também novas modalidades de golpes. A cada ano, é importante estar ciente das novas táticas ou das variações de fraudes antigas para se proteger. A melhor defesa contra esses golpes é, fundamentalmente, conhecê-los.
A seguir, detalhamos algumas das ameaças recentes e emergentes que você deve observar.
Golpes por Mensagem de Texto (SMS)
Uma fraude que tem circulado recentemente envolve mensagens de texto alarmantes, muitas vezes enviadas por supostas empresas de telefonia, como T-Mobile ou Verizon. A mensagem alega que você possui muitos pontos de recompensa que estão prestes a expirar, exigindo que você os utilize imediatamente para não perdê-los.
- A mensagem contém um link que direciona para uma página de phishing falsa.
- O objetivo é roubar suas credenciais de login se você tentar resgatar os pontos prometidos.
- Lembre-se: essas mensagens são completamente falsas, e você não deve acreditar nelas.
Phishing Direcionado a Setores Específicos
Atualmente, muitos golpes visam profissões e indústrias específicas por meio de e-mails fraudulentos bem elaborados.
Advogados
Golpes recentes têm se direcionado a advogados, fingindo ser da associação da ordem dos advogados do estado. A mensagem alerta sobre um assunto urgente que precisa ser tratado, enviada por meio de um anexo ou link para compartilhamento de arquivos em plataformas como Dropbox, OneDrive ou Google Drive, solicitando o download.
Executivos
Outro exemplo são e-mails direcionados a executivos, noticiando um prêmio que estariam supostamente recebendo. Assim como no caso anterior, eles geralmente contêm arquivos maliciosos anexados.
Técnica Clickfix em Combinação
É interessante notar que essas fraudes podem combinar a técnica de engenharia social com a tática conhecida como Clickfix. Neste caso, o e-mail ou site falso simula um erro no seu navegador e instrui você a clicar ou digitar um comando em alguma caixa de diálogo (como a caixa “Executar” do Windows) para corrigi-lo. O comando, na verdade, fará o download e instalará um vírus.
A lição principal é ser diligente com todos os e-mails recebidos, mesmo aqueles que parecem muito específicos para sua profissão. Além disso, arquivos zip protegidos por senha são, quase sempre, um sinal de fraude e devem ser evitados.
Jamais confie em qualquer site que peça para você rodar um comando ou colar algo na caixa “Executar” do Windows.
Convites de Calendário Falsos
Uma técnica que ganha popularidade é o envio de convites de calendário falsos para eventos que contêm links ou conteúdo malicioso. Isso é usado porque e-mails de convite de calendário (como do Google Calendar) têm uma probabilidade menor de serem barrados por filtros de spam, já que a notificação técnica geralmente provém de um serviço legítimo (como o Google).
A ideia é semelhante aos convites de compartilhamento de arquivos do Google Drive, utilizando notificações de serviços confiáveis para entregar o golpe.
Golpe “Brushing” com QR Codes
O golpe conhecido como “brushing” evoluiu. Tradicionalmente, ele envolve o recebimento de um pacote não solicitado, onde um vendedor terceirizado em um marketplace (como Amazon) finge ser você para gerar avaliações falsas para seus produtos.
A nova variação consiste em incluir um cartão ou papel dentro desse pacote falso, contendo um QR Code. A isca é dizer que se trata de um “pedido de presente” e que, para saber quem o enviou, você deve escanear o código e fazer login. Este link será, na verdade, uma página de phishing, possivelmente para o site do varejista envolvido.
Atenção: Escanear o código por si só não invadirá seu telefone, mas ele o levará a um site onde, se você digitar suas credenciais, elas serão roubadas.
Golpes em Hotéis e Contra Hóspedes (“I Paid Twice”)
Este golpe tem duas etapas, visando gerentes de hotel e, em seguida, os hóspedes:
- Infecção Inicial: Scammers direcionam malware aos gerentes de hotel através de e-mails específicos para o setor. Ao serem enganados a baixar o arquivo, os golpistas ganham acesso aos sistemas do hotel, incluindo listas de hóspedes e informações de reservas.
- Phishing contra Hóspedes: Utilizando as informações reais roubadas (datas de estadia, nomes, números de confirmação), os golpistas contatam os hóspedes com e-mails de phishing extremamente realistas. Eles inventam uma desculpa (como a necessidade de pagar novamente ou a obrigação de pagar antecipadamente por uma reserva não paga) e solicitam informações de pagamento.
Os criminosos podem cobrar imediatamente e roubar as informações de pagamento para uso futuro. Quando o hóspede questiona o hotel sobre a cobrança dupla, o hotel não tem conhecimento da fraude, pois o sistema foi comprometido sem que eles percebessem.
Riscos com Pagamentos por Aproximação (Tap to Pay)
Embora a tecnologia Tap to Pay seja segura e excelente para evitar skimmers de tarja magnética, os golpistas encontraram formas de abusar dela.
Ghost Tapping (Aproximação Fantasma)
Esta técnica envolve o golpista se aproximar muito da vítima com um terminal de pagamento de comerciante portátil e pressioná-lo contra o cartão de crédito da vítima (enquanto ele ainda está na carteira) para efetuar uma cobrança sem que a pessoa perceba. Embora seja mais aplicável a cartões de crédito físicos, é menos provável que funcione com pagamentos por celular (como Apple Pay ou Google Pay), pois estes geralmente exigem uma confirmação de uso.
Para se proteger:
- Use uma carteira com bloqueio RFID.
- Fique atento a pessoas que se aproximam ou esbarram em você de forma suspeita.
Forced Swipe (Passagem Forçada)
Scammers instalam um skimmer tradicional no terminal de pagamento (em postos de gasolina, por exemplo) e, em seguida, quebram ou bloqueiam o painel de Tap to Pay. Isso força o cliente, que prefere o método mais seguro de aproximação, a usar a tarja magnética, permitindo que o skimmer capture os dados.
Também é possível que bloqueiem a função de aproximação com um adesivo que bloqueia o sinal RFID, forçando o uso da tarja. Se o Tap to Pay em um terminal não funcionar, considere-o um motivo de suspeita.
Mito a ser desfeito: Um simples adesivo não intercepta a transação Tap to Pay. A intenção do adesivo seria impedir que você o use, forçando o uso do método mais fraco (tarja magnética).
NFC Tag Maliciosa
Um risco mais sutil é a colagem de um adesivo com uma tag NFC embutida no terminal de pagamento. Ao aproximar o celular para pagar, essa tag pode acionar um prompt para abrir um site embutido no seu telefone. Embora não hackeie o aparelho apenas por escanear, o site (que pode ser um link de phishing direcionado àquela loja) pode induzir o usuário a inserir dados de pagamento, pensando que está finalizando a transação.
Selos Postais Falsificados
Principalmente nos Estados Unidos, golpistas estão vendendo rolos de selos postais em redes sociais e marketplaces com descontos muito altos. Esses selos são totalmente falsificados. Se utilizados, as máquinas de classificação de correio os rejeitarão, e sua correspondência pode ser retida ou devolvida.
Regra geral: Selos postais nunca são vendidos com grandes descontos; seria o equivalente à Casa da Moeda vender notas de um dólar por menos de um dólar.
Caveat: Lojas de varejo legítimas (como Costco) podem vender com um desconto mínimo (talvez 1% ou 2%). Qualquer desconto de 10% ou mais é um sinal claro de falsificação.
Vídeos de Deepfake e Clonagem de Voz
Scammers estão utilizando vídeos gerados por Inteligência Artificial (IA) para se passar por criadores de conteúdo ou outras pessoas, muitas vezes em plataformas como o TikTok. Esses vídeos não são apenas montagens de clipes antigos; são gerados do zero por IA, clonando a voz e o vídeo da pessoa, com movimentos labiais sincronizados, promovendo serviços de hacking falsos ou outros golpes.
Se você encontrar um vídeo suspeito:
- Reporte a conta, utilizando a opção de desinformação sobre deep fakes.
- Esteja ciente de que esses serviços de hacking promovidos são golpes projetados para roubar seu dinheiro.
Golpe de Desvio de Pacotes via Uber Eats
Uma tática observada envolve o uso do serviço de entrega de pacotes por motoristas de aplicativos como Uber Eats. O golpista:
- Obtém as informações de rastreamento de uma entrega de alto valor (como um laptop).
- Solicita uma alteração de rota ou atraso no pacote.
- Engana um motorista do Uber Eats, dizendo que o pacote foi entregue no endereço errado e que ele deve pegá-lo e entregá-lo ao destino correto, mantendo o motorista em linha para dar instruções.
No exemplo citado, o cliente original manteve a encomenda, e o motorista cancelou a entrega fraudulenta. Contudo, o golpista tentou novamente com outro motorista. É especulado que o acesso à informação de rastreio pode vir de um funcionário interno da transportadora ou até mesmo pelo registro do fraudador em uma conta UPS usando o endereço da vítima para receber notificações de entrega.
Para proteção, considere registrar seu endereço nos sistemas de rastreamento de transportadoras como UPS e FedEx para ter maior controle sobre as notificações de entrega.
Golpes Hiper-Segmentados
Golpe de Brindes Policiais
Golpistas ligam para residentes locais, fingindo ser do departamento de polícia da região, e pedem doações para a compra de merchandising (camisetas, etc.) para o departamento. Por ser uma instituição de autoridade, as pessoas são menos propensas a desconfiar, embora seja um comportamento atípico para a polícia real.
Golpe de Doação para Pets Feridos
Este golpe é particularmente cruel. Scammers contatam proprietários que postaram sobre a perda de seus animais, fingindo ser da Sociedade Protetora dos Animais ou outra organização. Eles alegam que o pet foi encontrado, mas precisa de cirurgia de emergência, solicitando dinheiro. Em casos mais avançados, utilizam imagens geradas por IA, como uma foto do animal supostamente em cirurgia, para chantagear a vítima. Lembre-se: nenhuma organização legítima ligará pedindo dinheiro urgentemente.
Golpe de Fiança e Monitoramento Eletrônico (Reverse Arrest Scam)
Ao contrário dos golpes que fingem uma prisão inexistente, este mira famílias de pessoas realmente presas, usando registros públicos de prisão. O golpista liga para familiares, fingindo ser a polícia, e oferece a liberação do parente mediante o pagamento por uma tornozeleira eletrônica ou fiança. Como a prisão é real, a família, desesperada, costuma efetuar o pagamento.
Pig Butchering (Cripto-Investimento)
Este golpe, conhecido por ser lento e destrutivo, tem piorado. O nome vem da ideia de “engordar” a vítima (o porco) por meses antes de “abater” (roubar todo o dinheiro).
O processo geralmente começa com uma mensagem de texto de “número errado”. Se a vítima responde, o golpista se engaja em conversas, fingindo ser muito rico. Quando questionado sobre como obtiveram a fortuna, eles alegam ser especialistas em investimentos em criptomoedas com um “sistema infalível”.
Eles, então, convidam a vítima a depositar dinheiro em um site de investimento falso. O site simula lucros enormes, mas quando a vítima tenta sacar o dinheiro, descobre que ele não pode ser retirado, e o golpista desaparece, muitas vezes após meses de interação.
Isso pode ocorrer via texto ou, frequentemente, em aplicativos de namoro.
Fraude de Suporte Técnico da Apple (Reset de Senha)
Scammers enviam e-mails que parecem genuinamente vir da Apple, afirmando que há um problema com a conta do usuário. Eles submetem um ticket de suporte com as informações da vítima, fingindo ser a Apple e convencendo o usuário de que são suporte oficial. No final, enviam um link de phishing pedindo um código de confirmação. Este código, na verdade, é um código de redefinição de senha que os golpistas acabaram de acionar. Ao inserir o código no site falso, a vítima autoriza a redefinição, e o golpista assume o controle da conta.
Scams de Sequestro com Deepfakes Realistas
A evolução da IA permite que golpistas criem imagens de deepfake extremamente realistas, usando apenas uma foto da vítima. Em golpes de sequestro, eles podem enviar uma foto falsa (mas convincente) da pessoa sendo mantida em cativeiro ou ferida, exigindo resgate. Isso é ainda mais impactante quando combinado com a clonagem de voz, pois a vítima tem evidências visuais falsas para acreditar na ameaça.
Dicas Gerais de Prevenção
Para se proteger de golpes gerais, algumas medidas de tecnologia podem ser úteis:
- Em iOS: Habilite a função “Silenciar Desconhecidos” nas configurações, que silencia automaticamente chamadas de números que não estão em sua lista de contatos.
- Em Google Chrome: Ative a “Proteção Aprimorada” em Privacidade e Segurança. Isso realiza uma verificação mais rigorosa e atualizada de todos os sites visitados.
- Em Microsoft Edge: Ative a opção “Melhorar minha segurança na Web” em Privacidade, Pesquisa e Serviços. Recomenda-se a configuração “Equilibrada”, que adiciona proteções extras em sites menos visitados (onde o risco é maior).
- Microsoft Edge: Verifique se o bloqueador de Scareware (Bloqueador de Scareware) está ativado, o que é altamente recomendável.
Ao implementar essas proteções, você estará muito mais equipado para lidar com as ameaças atuais e futuras variações de golpes.
Perguntas Frequentes
- Como me proteger de “Ghost Tapping”?
Use uma carteira com bloqueio RFID para cartões físicos ou prefira pagamentos por celular que exijam autenticação para cada transação. - O que fazer se eu receber um convite de calendário suspeito?
Evite clicar em links ou executar ações dentro de convites de calendário vindos de fontes desconhecidas, pois podem ser usados para distribuir malware. - Por que selos postais vendidos muito baratos são um risco?
Selos postais têm seu valor fixo, e grandes descontos indicam que são falsificações sem valor postal real. - É possível que uma imagem gerada por IA seja usada em um golpe de sequestro?
Sim, golpistas estão usando IA para criar imagens altamente realistas de vítimas em cativeiro para extorsão. - Qual é a principal diferença entre o golpe de phishing da Apple e o de reset de senha?
O golpe da Apple usa um e-mail legítimo para enganar a vítima a fornecer um código de confirmação que, na verdade, é um código de redefinição de senha, permitindo que o golpista acesse a conta.
