Mensagens e cobranças falsas de órgãos públicos como Correios, Polícia Federal, DETRAN e Supremo Tribunal Federal estão sendo produzidas por cibercriminosos para enganar vítimas no Brasil. É o que mostra um levantamento feito pela ISH Tecnologia, referência nacional em cibersegurança.
Os ataques, na maioria das vezes disparados por e-mail, visam a coleta de credenciais e números de cartão de crédito das vítimas, além da realização de pagamentos fraudulentos para contas falsas, que redirecionam o dinheiro aos criminosos. São ataques que se aproveitam tanto da autoridade de comunicações supostamente oficiais de órgãos públicos como do senso de urgência, vindo da necessidade de pagamentos de multas e cobranças.
O exemplo abaixo, coletado pela ISH, mostra uma dessas mensagens fraudulentas. Aqui, os criminosos se passam pelo DETRAN, cobrando o pagamento da multa por uma suposta infração de trânsito cometida pela vítima:
A investigação do exemplo já traz alguns indícios de que se trata de uma tentativa de golpe, e que devem servir de alerta para os usuários. O endereço que enviou o e-mail utiliza um domínio aleatório (detran @smtplw-15[.com]), que não corresponde ao oficial utilizado pelo órgão. Além disso, o CPF da vítima não é informado, podendo assim ter sido enviado a qualquer um. Ao clicar no botão azul, para suposta visualização da multa, o usuário é redirecionado a um site fraudulento, que tentará roubar suas informações.
A ISH também traz dois outros exemplos coletados: no primeiro, uma campanha maliciosa utiliza a identidade visual dos Correios para induzir o usuário ao suposto pagamento de uma taxa para que sua encomenda saia da alfândega. Já o segundo, disparado contra uma empresa, afirma que ela possui pendências tributárias que precisam ser quitadas imediatamente:
Nos dois casos, algumas “pistas” se repetem, como o endereço de e-mail suspeito e o senso de urgência. Além disso, no segundo exemplo, o título do e-mail possui erros de formatação (“Alterao do Ttulo... Vencimento...”), mais um indício de que não se trata de uma comunicação oficial.
A ISH revela que, em campanhas como essas, é comum que os atores de ameaça recrutem “laranjas” – pessoas que servem como intermediárias para o recebimento das quantias fraudulentas. Essas pessoas recebem uma porcentagem do valor obtido na fraude e, posteriormente, os criminosos utilizam sistemas de cascata para realizar lavagem de dinheiro, dificultando o rastreamento dos valores pagos pelas vítimas.
Esses tipos de golpes mostram como os atores de ameaça sofisticam suas táticas, aproveitando-se da confiança nos órgãos públicos para induzir pagamentos indevidos. A inserção de boletos falsos em documentos PDF reforça a necessidade de vigilância contínua por parte das organizações e dos usuários, demonstrando a importância de verificar a autenticidade das comunicações recebidas e de implementar medidas de segurança que possam reduzir o impacto dessas campanhas fraudulentas.
Prevenção
Por fim, a ISH lista algumas recomendações para que os usuários não caiam em golpes como os apresentados:
- Verificar sempre o domínio dos e-mails recebidos, e desconfiar dos que trazem endereços pessoais;
- Em caso de dúvida, contatar o órgão em questão diretamente por telefone ou site oficial, e nunca pelos dados fornecidos no e-mail;
- Tomar cuidado com erros de ortografia e/ou formatação nos textos, além de uma urgência excessiva;
- Nunca responder a e-mails desse tipo, para evitar confirmar a identidade ao atacante. Serviços como Gmail e Outlook também possuem uma opção de “reportar phishing”;
- Em caso de vazamento confirmado, trocar imediatamente as senhas comprometidas, informar colaboradores e, se necessário, órgãos reguladores.