Temos observado um aparente aumento nos golpes envolvendo pendências falsas para a entrega de mercadorias compradas on-line. Embora essa fraude não seja totalmente nova, as campanhas recentes vêm chamando a atenção por envolverem mensagens no WhatsApp com dados aparentemente verídicos e corretos da vítima e das encomendas.

Contudo, nem todas as fraudes dessa modalidade necessariamente precisam dos dados das vítimas ou de mensagens por aplicativos. Esses golpes são recorrentes e acontecem há muitos anos.

Apesar disso, vale a pena entendermos um pouco melhor o motivo que leva os criminosos a apostarem nessa narrativa e quais opções existem para mitigar o problema, especialmente considerando o risco de danos reputacionais.

Breve histórico sobre golpes com pendências

O golpe da pendência falsa é antigo é muito versátil. De certo modo, ele pode ser entendido como o phishing tradicional, em que a vítima deve fornecer seus dados ou sua senha para resolver uma pendência cadastral.

No entanto, criminosos renovam constantemente essa fraude com novos tipos de pendências e aprimoramentos, evitando receitas desgastadas e tornando as mensagens mais críveis. Alguns exemplos de pendências fraudulentas:

• financeiras (dívidas);
• jurídicas (pendência em processos ou procedimentos de investigação);
• técnicas (como uma troca de senha);
• compras (dados para finalizar um pagamento ou receber uma encomenda).

Cibercriminosos precisam construir pretextos plausíveis para convencer a vítima a tomar a atitude que eles esperam, como fornecer dados, baixar um malware ou digitar dados do cartão de crédito. A versatilidade da ideia de uma "pendência falsa" abre espaço para muitas fraudes diferentes que acabam em algum desses cenários.

Outra análise importante é a de que cada cenário permite o uso de certos tipos de dados pessoais. Enquanto pendências financeiras e jurídicas podem utilizar o CPF da vítima para ganhar credibilidade, uma fraude técnica só precisa do nome da conta. Uma fraude com temática de e-commerce pode utilizar o nome e o endereço.

Como os cenários são relativamente plausíveis, muitas pessoas podem ter dificuldade para diferenciar a fraude de uma solicitação verdadeira. No caso das entregas de compras on-line, pendências de fato acontecem por conta de rasuras na etiqueta, endereços incorretos, embalagem danificada e desembaraço alfandegário, entre outros motivos.

Os golpes recentes com pendência em entrega

Nas versões mais recentes do golpe, os criminosos têm enviado mensagens de WhatsApp em nomes de transportadoras informando sobre pendências inexistentes. O exemplo que temos traz uma temática de pendência alfandegária, mesmo que a compra tenha apenas logística nacional.

Captura de tela que mostra como as mensagens são enviadas.

Esse golpe tem um nível considerável de sofisticação. A mensagem é enviada por uma conta comercial do WhatsApp, utiliza uma linguagem correta e até emojis. O nome da vítima, o nome da transportadora, o endereço e o número de rastreamento da encomenda são todos verídicos e baseados em uma compra recente.

Observamos também o uso de um link do tipo "https". Há usuários que ainda se apegam à ideia de que sites HTTPS são "seguros".

Apesar desses pontos sofisticados, há casos em que as vítimas recebem a mensagem do golpe apenas depois da encomenda já ter sido entregue. Se o destinatário da mensagem perceber que o código é de um pedido já entregue, essa referência acaba sendo um detrimento para o golpe.

Já a temática da pendência alfandegária naturalmente cria um pretexto para que o criminoso solicite dados de pagamento (como cartão de crédito) ou até um pagamento direto para quitar o imposto e liberar o pacote.

Neste caso específico, a fraude não traz qualquer menção ao nome da loja em que a compra foi realizada. Se a vítima perceber que se trata de um golpe, pode ser que ela tenha a impressão de que os dados vazaram da empresa de logística, mas essa conclusão seria precipitada.

As lojas, em especial as menores que não têm equipe de cibersegurança, também podem imaginar que o vazamento está ocorrendo na etapa do transporte. No entanto, há vários outros canais por onde esses dados podem vazar.

É bastante comum que lojas integrem sistemas de diversos fornecedores para criar a vitrine própria, replicar o estuque para marketplaces e cuidar do faturamento e da logística. Cada um desses sistemas pode ter acesso aos dados da vítima e, portanto, alimentar essas fraudes.

Um cibercriminoso pode roubar um dado de um sistema integrador qualquer e aplicar uma fraude em nome da transportadora, aproveitando-se da marca mais conhecida.

Também é importante entender que ataques em massa às lojas são viáveis e já acontecem. Muitas empresas utilizam plataformas ou sistemas padronizados, de modo que uma única vulnerabilidade pode impactar milhares de lojas. No ataque conhecido como Magecart, por exemplo, milhares de sites de ecommerce são invadidos e modificados para roubar os dados dos clientes durante o fechamento do pedido.

Nesse sentido, é preciso considerar a possibilidade de que os invasores obtiveram acesso a sistemas integrados com lojas, sistemas de faturamento ou até de contabilidade em que essas informações são potencialmente replicadas.

Por fim, não é necessário utilizar dados válidos para criar uma fraude crível. Se a vítima confiar na mensagem e confiar no link, ela verá uma tela de rastreamento falsa e jamais pensará na possibilidade de conferir o rastreamento no site oficial da transportadora. Os dados roubados dos consumidores podem ser utilizados novamente pelos criminosos, e a fraude será muito parecida mesmo sem dados atualizados.

Infelizmente, podem ocorrer danos à reputação das empresas mencionadas na fraude e um aumento na demanda de atendimentos, mesmo que a empresa não seja a fonte do vazamento.

Opções de mitigação

Um dos elementos que aumenta a credibilidade da fraude é o uso de nomes de domínio falsos com o nome da marca explorada pelo golpe. Com o monitoramento de marca, é possível detectar esses domínios e solicitar o Takedown. O Takedown pode tirar o site do ar, diminuindo o tempo de vida da fraude e, portanto, o interesse de criminosos de usar uma marca protegida no golpe.

Quanto o cibercriminoso percebe que uma marca é protegida, ele pode optar por migrar para uma marca não monitorada ou usar domínios que não façam menção à marca, mas isso aumenta as chances de que a vítima perceba que a mensagem é inverídica. A fraude se torna menos eficaz e menos interessante para o golpista.

Empresas também podem melhorar sua segurança usando o monitoramento de credenciais vazadas e uma solução de External Attack Surface Management (EASM). Essas medidas encontram problemas de segurança que podem estar alimentando fraudes externas, bem como certas fragilidades em empresas ligadas ao mesmo ecossistema.

Fraudes mais sofisticadas podem exigir uma análise detalhada de um especialista em Cyber Threat Intelligence e uma investigação para descobrir de que forma uma informação está chegando aos criminosos. A Axur oferece a ferramenta Threat Hunting para auxiliar esse tipo de investigação. Fale conosco para solicitar uma demonstração.