Golpes usam falsas ofertas de cartão ligadas à Shopee e promoções que imitam a Latam para roubar CPF de vítimas, alerta a ESET
Golpistas estão explorando falsas ofertas de cartão de crédito supostamente associadas à Shopee e páginas que imitam promoções de grandes marcas, como a Latam, para coletar o CPF de vítimas no Brasil. O alerta é da ESET, empresa líder em detecção proativa de ameaças, após a identificação de campanhas maliciosas que utilizam engenharia social e sites fraudulentos para simular processos legítimos de concessão de crédito e benefícios exclusivos, como limite elevado, isenção de consulta ao SPC/Serasa e anuidade zero.
As campanhas circulam principalmente em anúncios nas redes sociais e em disparos em massa em aplicativos de mensagens, que direcionam o usuário a sites falsos com identidade visual muito semelhante à de empresas conhecidas. Além do uso de logotipos e cores oficiais, os criminosos inserem mensagens sobre “segurança” e “proteção de dados” para reforçar a falsa sensação de legitimidade.
“O objetivo da campanha é enganar o usuário ao oferecer benefícios/condições vantajosas e, na realidade, coletar dados sensíveis. O CPF é extremamente valioso para fraudes futuras, abertura de contas, golpes financeiros e até engenharia social mais direcionada”, alerta Daniel Barbosa, pesquisador de segurança da ESET Brasil.
Engenharia social e perfilamento das vítimas
O golpe se apresenta como um processo legítimo de solicitação de cartão de crédito. Ao longo do fluxo, a vítima é convidada a escolher supostos benefícios e responder perguntas sobre:
- Tipo de vínculo trabalhista
- Faixa de renda mensal
- Existência de restrições no CPF
Esse conjunto de perguntas revela uma tentativa clara de perfilar as vítimas e permite que os criminosos avaliem o potencial financeiro para decidir se voltarão a explorar o alvo em abordagens futuras.
A campanha demonstra foco especial em pessoas financeiramente vulneráveis, como usuários negativados ou com restrições de crédito, para quem promessas como “crédito sem consulta” e “aprovação imediata” são especialmente atrativas.
Aprovação automática e coleta do CPF
Independentemente das respostas, o site sempre informa que aprovou o cartão. Na etapa final, o site instrui o usuário a preencher apenas um dado: o CPF.
Após o envio, a página exibe uma mensagem genérica informando que a “consulta está temporariamente indisponível”. Na prática, o dado já foi transmitido aos cibercriminosos, encerrando o golpe.
“A falsa mensagem de erro é apenas um artifício para reduzir suspeitas. O usuário acredita que o processo falhou, quando na verdade a informação já foi capturada”, explica a ESET.
Outras campanhas semelhantes em circulação
Além das fraudes mais elaboradas, a ESET identificou campanhas mais simples, que também visam a coleta de CPF e nome completo. Nesses casos, sites fraudulentos copiam a identidade visual de companhias aéreas e grandes empresas, solicitam os dados e recarregam a página sem qualquer aviso ou mensagem de erro.
Apesar de menos sofisticadas, essas campanhas continuam sendo eficazes devido ao apelo da marca e à confiança do usuário.
Como se proteger de golpes de coleta de CPF
A ESET recomenda atenção redobrada ao fornecer dados pessoais na internet. Entre as principais orientações estão:
- Verificar sempre o endereço do site, mesmo que o visual pareça legítimo
- Desconfiar de ofertas com benefícios excessivamente vantajosos
- Nunca informar CPF ou outros dados sensíveis fora de canais oficiais
- Evitar clicar em anúncios ou links recebidos por mensagens sem verificação prévia
- Manter um antivírus confiável, atualizado e ativo para bloquear páginas maliciosas e arquivos suspeitos
“Em golpes digitais, a aparência engana. A aparência da suposta marca parece confiável e oficial, mas o endereço do site e a promessa exagerada quase sempre entregam a fraude”, reforça a ESET.
