Alerta de Golpe: Notificações Push Falsas no iPhone para Compras Não Solicitadas
Recentemente, foi identificado um golpe sofisticado que utiliza notificações push diretamente em iPhones para induzir as vítimas a acreditar que fizeram compras não autorizadas, como a aquisição de um Apple Watch. Este artigo detalha como essa fraude funciona e como os golpistas conseguem inserir essas notificações no sistema, além de ilustrar uma interação com os criminosos.
Como o Golpe é Montado
A mecânica por trás dessa fraude é relativamente engenhosa, baseando-se no uso de plataformas de comércio eletrônico legítimas para simular transações fraudulentas.
Os golpistas montaram uma loja online utilizando o **Shopify**, uma plataforma popular para varejistas virtuais. O ponto crucial foi a obtenção de um grande banco de dados contendo e-mails de diversas pessoas, incluindo a vítima.
Com esse banco de dados, eles criaram uma série de pedidos falsos, atribuindo manualmente os e-mails das vítimas como os compradores. É importante notar que os endereços de entrega utilizados eram fictícios; os golpistas não usaram os endereços reais das vítimas.
A Entrega da Notificação Push
Se uma pessoa possui uma conta no aplicativo **Shop** (vinculado ao email usado no Shopify) associada ao e-mail utilizado no pedido falso, ela pode receber uma notificação push. Embora o processo padrão envolva o envio de um e-mail de confirmação de pedido, a vítima deste golpe recebeu a notificação diretamente no telefone.
Ao receber essa notificação, a vítima via o detalhe do pedido falso dentro do aplicativo Shop, incluindo um recibo e a inclusão da transação no histórico de pedidos.
É fundamental esclarecer: neste caso, **nenhum detalhe de pagamento foi roubado**, e nenhum valor foi cobrado. O objetivo imediato do golpe não era roubar dinheiro, mas sim apresentar a informação da compra falsa e, crucialmente, fornecer um número de telefone para contato.
Os golpistas incorporavam o número de telefone da fraude nas primeiras linhas do que parecia ser o endereço de entrega, instruindo a vítima a ligar se não reconhecesse o pedido.
A Ligação com o Suporte Falso
A vítima, ao ligar para o número fornecido (sabendo que era uma fraude, com o intuito de investigar), foi atendida por alguém que se apresentou como suporte.
Durante a conversa, o suposto suporte demonstrou um conhecimento específico sobre a origem da notificação, perguntando se ela havia chegado por e-mail, texto ou **notificação pop-up**. A confirmação de que havia sido um pop-up levou o fraudador a perguntar qual era o ID de e-mail registrado no iPhone.
O golpista, ao ser questionado sobre a origem (e-mail/texto), demonstrou estar esperando uma resposta específica, mencionando que o pedido parecia ter vindo do `shopify.com` ou do aplicativo Shop.
O ponto central do golpe, conforme a análise da interação, seria um **golpe de sequestro de conta Apple**. O fraudador, após confirmar a origem como um pop-up do “Shop”, provavelmente tentaria convencer a vítima de que sua conta Apple estava comprometida. A próxima etapa esperada seria pedir um código de verificação (que na verdade seria um código de redefinição de senha) para “cancelar” a compra falsa, permitindo, assim, o acesso à conta Apple da vítima.
O Desfecho da Tentativa de Golpe
Ao ser confrontado com perguntas sobre o e-mail de registro do iPhone e, posteriormente, ao ser solicitado o número do pedido, o golpista pareceu se desestabilizar ou desistir da tática. A vítima não forneceu o número de pedido real, e o contato encerrou abruptamente, com o fraudador afirmando que encaminharia o problema para o “departamento competente” e que o cancelamento seria providenciado.
É notável que, ao tentar seguir o link para a loja fictícia, ele levava a uma página de *placeholder* de um subdomínio Shopify, que algumas horas depois já não podia ser encontrado, sugerindo que o Shopify pode ter derrubado o site.
Lições Aprendidas: O Risco das Notificações Push
Este incidente serve como um alerta importante: além de estarmos atentos a e-mails e mensagens de texto fraudulentas, agora precisamos considerar a possibilidade de **notificações push de aplicativos** serem usadas como vetor de ataque. Os usuários devem desconfiar de qualquer notificação inesperada sobre transações ou atividades financeiras, especialmente aquelas que solicitam contato imediato por telefone.
Perguntas Frequentes
- O que caracteriza este novo tipo de golpe?
O golpe utiliza notificações push em aplicativos legítimos (como o Shop) para informar falsas compras, visando obter o número de suporte para, em seguida, aplicar um golpe de *account hijacking* (sequestro de conta), geralmente mirando contas Apple. - É possível que meus dados de pagamento tenham sido roubados neste golpe?
No exemplo detalhado, o foco era a engenharia social para obter acesso à conta principal (Apple, neste caso), e não a coleta imediata de detalhes de pagamento. - Como os golpistas conseguem enviar notificações push para meu aplicativo?
Eles criam pedidos falsos em lojas Shopify usando seu e-mail cadastrado. Se você tiver o aplicativo Shop instalado, ele pode exibir essa atividade como uma notificação push. - Qual a melhor forma de se proteger contra essa fraude?
Desconfie sempre de notificações não solicitadas de compras. Nunca ligue para números fornecidos em alertas inesperados. Se tiver dúvidas sobre uma compra, acesse o site ou aplicativo oficial da plataforma (Shopify, Apple, etc.) manualmente para verificar seu histórico de pedidos. - É possível reportar fraudes diretamente no aplicativo Shop?
No caso analisado, não havia uma opção clara para reportar a transação como fraude ou spam dentro do aplicativo Shop no momento da ocorrência.
