O Laboratório de Investigação da ESET, empresa referência na detecção proativa de ameaças digitais, identificou uma nova campanha de golpe que está sendo disseminada pelo WhatsApp. Os criminosos estão se passando por representantes de uma das maiores plataformas de e-commerce do país, para aplicar uma fraude que promete prêmios falsos a partir de produtos supostamente devolvidos.
A mensagem enganosa costuma chegar às potenciais vítimas por meio de contatos conhecidos, o que aumenta a confiança e o alcance do golpe. O texto menciona um suposto sorteio promovido pela plataforma, acompanhado de um link que direciona para um site falso, desenvolvido para se parecer com o portal oficial da empresa.
Assim que o usuário acessa o link, se depara com uma página visualmente similar ao site legítimo, com logotipo, cores oficiais e até comentários falsos de supostos ganhadores. Um questionário é apresentado para dar um ar de credibilidade. Após respondê-lo, o usuário é convidado a participar de um sorteio, onde sempre “ganha” prêmios de alto valor, como smartphones de última geração ou dinheiro em espécie.
No entanto, para receber o prêmio, é necessário compartilhar o link com os contatos no WhatsApp, estratégia comum nesse tipo de golpe para aumentar rapidamente sua disseminação sem expor diretamente os cibercriminosos.
A etapa final do golpe redireciona a vítima para outro site, onde são utilizadas técnicas conhecidas de scareware — mensagens que tentam assustar o usuário ao informar que seu dispositivo está desatualizado ou em risco. Para resolver o problema fictício, o site induz o usuário a baixar um aplicativo suspeito sob a falsa urgência de uma “atualização obrigatória”.
Nesse ponto, nenhuma menção ao sorteio ou ao prêmio é feita, e o verdadeiro objetivo do golpe fica evidente: enganar o usuário para que ele baixe um malware ou forneça informações pessoais sensíveis. Apesar do link para a falsa atualização estar fora do ar no momento, a ESET alerta que o domínio utilizado abriga vários outros sites maliciosos com aparência de diferentes empresas, todos com fins fraudulentos.
Segundo Camilo Gutiérrez Amaya, chefe do Laboratório de Investigação da ESET, golpes com roubo de identidade de plataformas de e-commerce são cada vez mais comuns. Dados da ESET apontam que sites de e-commerce representaram 9,8% dos temas mais usados em ataques de phishing no último trimestre de 2021 — uma tendência que segue em alta.
Como se proteger desses golpes:
A ESET recomenda atenção redobrada e oferece as seguintes dicas para evitar cair em fraudes como essa:
-
Desconfie de ofertas generosas, prêmios ou benefícios fáceis demais, especialmente quando enviados por mensagens com links.
-
Verifique o endereço do site e se ele realmente pertence à empresa mencionada na mensagem. Golpes geralmente usam domínios parecidos, mas não oficiais.
-
Ignore alertas de vírus ou atualizações suspeitas que aparecem no navegador. Esses alertas costumam ser falsos e têm como objetivo instalar software malicioso.
-
Instale uma solução de segurança confiável no seu dispositivo para detectar ameaças, bloquear sites maliciosos e impedir o download de malware.
Usuários que receberem esse tipo de mensagem devem evitar clicar em links desconhecidos e alertar seus contatos para que não compartilhem a fraude. Denunciar o link também é uma ação importante para reduzir o alcance da campanha maliciosa.
Com informações ESET
