16 mar Golpe do rastreio falso volta a crescer com ataques por SMS
Criminosos estão usando o hábito de rastrear encomendas para aplicar golpes em larga escala. A empresa de inteligência de ameaças Group-IB identificou um crescimento expressivo nesse tipo de fraude ao longo de 2025.
O esquema explora o volume de 161 bilhões de pacotes movimentados anualmente pelo comércio eletrônico global e afeta consumidores em dezenas de países.
O que é o golpe do rastreio falso
O ataque começa com uma mensagem de texto, que imita uma transportadora conhecida. A mensagem avisa sobre uma entrega com problema, junto de um link para “atualizar o endereço” ou “pagar uma taxa”.
Ao clicar, a vítima cai em um site falso, com a página imitando com precisão o visual de empresas reais. Ali, o usuário preenche dados pessoais e financeiros. Essas informações vão direto para os golpistas.
Dois métodos são usados para entregar a mensagem. O primeiro usa números anônimos formatados como prefixos locais, já o segundo aplica falsificação de remetente. Isso faz o SMS parecer que veio de uma empresa já conhecida pela vítima.
Como os números cresceram
Em 2024, esse tipo de campanha mal aparecia nos radares dos pesquisadores. Em 2025, o cenário mudou completamente. O Group-IB registrou mais de 100 campanhas únicas por mês durante todo o ano, com picos em junho e dezembro. Nesses períodos foram identificadas 218 e 208 campanhas, respectivamente.
Os domínios usados imitam marcas reais, com parte deles usando extensões baratas e pouco regulamentadas – como .xyz, .shop, .click e .top. Outra parte abusa do “.com” tradicional, criando variações visuais que enganam à primeira vista.
A plataforma por trás dos ataques
Muitas dessas campanhas compartilham a mesma infraestrutura. Os pesquisadores identificaram características associadas ao Darcula, uma plataforma de phishing criada em idioma chinês e surgida em 2023.
O Darcula funciona como um serviço vendido para criminosos. Ele oferece mais de 20 mil domínios falsos e mais de 200 modelos de páginas para imitar marcas de governos, companhias aéreas, serviços postais e bancos. O serviço já foi usado em ataques em mais de 100 países.
A plataforma era comercializada pelo Telegram. Após ser exposta pela empresa de segurança Mnemonic, o grupo removeu seus canais públicos. O Group-IB confirmou, em relatório de 13 de março, que o Darcula continua ativo em canais clandestinos.
Golpes da encomenda no Brasil
No segundo semestre do ano passado, o TecMundo registrou duas campanhas de golpes da encomenda que visavam usuários brasileiros. O primeiro se utilizou da Total Express, entregadora parceira da Amazon, para roubar dinheiro das vítimas.
Durante esses ataques, os usuários recebiam mensagens fraudulentas, se passando pela Total Express, pedindo pagamentos para liberar o envio da encomenda. No entanto, os comunicados incluíam CPF e e-mail das vítimas. Além do nome completo e endereço de entrega, com um código de rastreio real.
Os criminosos agiam rápido e, menos de um dia após a movimentação do produto, já enviavam as mensagens para as vítimas. O recado avisava que a Receita Federal havia tributado os produtos comprados e pediam que o usuário pagasse a taxa.
A segunda campanha se passava pela J&T Express, outra empresa de logística ligada a grandes e-commerces. No entanto, as mensagens que chegavam às vítimas afirmavam que as encomendas estavam retidas na base operacional da entregadora por questões documentais.
Na mensagem, os golpistas informavam o conteúdo da entrega, o nome completo da vítima assim como seu endereço completo. Havia também um link que direcionava o usuário a pagar uma taxa para a suposta empresa, de forma a liberar a entrega.
As contas criadas por criminosos pareciam reais, usam o logo e a identidade visual de empresas. No caso da J&T Express, a conta do WhatsApp que enviava as mensagens era verificada.
Como se proteger
Para os consumidores, a principal recomendação é não clicar em links recebidos por SMS. Qualquer notificação de entrega deve ser verificada diretamente no site oficial da transportadora, digitando o endereço manualmente no navegador.
Para as empresas, o Group-IB recomenda uma série de medidas. As organizações precisam publicar alertas regulares sobre golpes que abusam de suas marcas. Protocolos de autenticação de e-mail, como DMARC, DKIM e SPF, reduzem o risco de mensagens enviadas em nome da empresa.
Também é recomendável oferecer uma ferramenta pública de verificação de códigos de rastreio e manter um canal claro para denúncias, como um endereço de e-mail específico para fraudes.
Trabalhar com operadoras de telefonia para filtrar padrões de SMS suspeitos é outra medida citada. Ela impede que as mensagens maliciosas sequer cheguem ao consumidor.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.