Fraudadores exploram marcas como Shopee e Latam para roubar CPF de brasileiros
Golpistas estão usando o nome de grandes empresas, como Shopee e Latam, para aplicar golpes de coleta de CPF e outros dados pessoais no Brasil. Segundo análise da ESET, companhia especializada em segurança digital, criminosos criam páginas falsas que simulam ofertas de cartão de crédito e promoções exclusivas, com o objetivo principal de capturar informações sensíveis das vítimas, em especial o CPF.
Essas campanhas se apoiam em engenharia social: exploram necessidades financeiras, urgência e a confiança do público em marcas populares. Para tornar o golpe convincente, os criminosos constroem sites que imitam com grande precisão a identidade visual de empresas conhecidas, reproduzindo logotipos, cores, tipografia e até linguagem de “proteção de dados” e “segurança” para reforçar a sensação de legitimidade.
Como funciona o golpe do “cartão aprovado na hora”
Uma das armadilhas identificadas se apresenta como uma suposta oferta de cartão de crédito ligado à Shopee, com vantagens irresistíveis: limite alto, anuidade gratuita e, principalmente, promessa de “sem consulta ao SPC/Serasa” e “aprovação imediata”.
O fluxo é o de uma solicitação de cartão aparentemente normal. Durante o processo, o usuário é convidado a escolher benefícios e responder a uma série de perguntas relacionadas a:
– situação financeira;
– interesse em crédito;
– perfil de consumo;
– possíveis restrições no nome.
Ainda que muitas dessas questões pareçam inofensivas, o conjunto de respostas permite que os golpistas façam um perfil detalhado da vítima. Com isso, eles conseguem avaliar o potencial de ganho sobre aquele alvo – por exemplo, se vale a pena abordá-lo novamente com outros golpes, como empréstimos falsos, refinanciamento de dívidas ou promessas de “limpeza de nome”.
Foco em pessoas em situação financeira vulnerável
Um dos pontos mais preocupantes apontados pela ESET é o foco das campanhas em pessoas endividadas ou com restrições de crédito. Promessas de “crédito sem análise”, “sem consulta ao SPC/Serasa”, “cartão aprovado na hora” e “limite alto mesmo negativado” são especialmente atrativas para quem está passando por dificuldades financeiras.
Golpistas se aproveitam desse momento de fragilidade para derrubar a desconfiança natural do usuário. Quando a pessoa está sob pressão de dívidas, a chance de clicar em um anúncio “milagroso” ou ignorar sinais de alerta aumenta significativamente. Isso torna esse tipo de fraude não apenas perigosa do ponto de vista financeiro, mas também cruel do ponto de vista social.
Aprovação automática e captura do CPF
Independentemente das respostas fornecidas ao longo do “cadastro”, o sistema fraudulento sempre exibe a mesma mensagem: o cartão foi aprovado. Em seguida, o site solicita apenas um dado obrigatório para “finalizar o pedido”: o CPF.
Após o envio do número, a página mostra uma mensagem genérica dizendo que a consulta “está temporariamente indisponível” ou que houve um “erro no sistema”. Essa aparente falha é proposital. Na prática, o objetivo já foi alcançado: o CPF acabou de ser capturado e enviado aos criminosos.
Segundo a ESET, a mensagem de erro serve para diminuir a desconfiança. O usuário tende a acreditar que o pedido não foi concluído, e muitos acabam esquecendo o episódio, sem sequer imaginar que seus dados já foram roubados.
Páginas falsas que imitam promoções de grandes marcas
Além das falsas ofertas de cartão, foram identificadas campanhas que reproduzem promoções supostamente ligadas a grandes empresas, como companhias aéreas do porte da Latam. Nesses casos, o golpe é ainda mais simples: a vítima é direcionada para um site que replica a identidade visual da marca, com promessas de:
– cupons de desconto altos;
– passagens promocionais;
– viagens gratuitas mediante cadastro;
– sorteios de milhas ou créditos.
Para participar, o usuário precisa informar nome completo e CPF – e, em alguns casos, outros dados como e-mail e telefone. Após o envio, a página apenas recarrega ou exibe um conteúdo genérico, sem confirmação clara, mas também sem uma mensagem de erro. Mesmo com essa simplicidade, o esquema continua eficaz graças à confiança que as grandes marcas despertam no público.
Por que o CPF é tão valioso para o cibercrime?
O CPF é um dado central na vida financeira do brasileiro e, por isso, é extremamente valioso no submundo digital. Com esse número em mãos, criminosos podem:
– tentar abrir contas bancárias ou carteiras digitais em nome da vítima;
– solicitar cartões de crédito ou empréstimos fraudulentos;
– realizar compras em crediário;
– cadastrar a vítima em serviços diversos;
– cruzar o CPF com outras informações vazadas (como e-mail, telefone, endereço) para criar perfis completos.
Além disso, o CPF é uma peça-chave para golpes de engenharia social mais sofisticados. Com dados mínimos, golpistas conseguem se passar por bancos, operadoras, varejistas ou até órgãos públicos, fazendo abordagens altamente convincentes por telefone, e-mail ou aplicativos de mensagem.
Engenharia social e perfilamento das vítimas
Um aspecto central dessas campanhas é o uso intenso de engenharia social. Os criminosos não se limitam a copiar logos: eles estudam o comportamento das vítimas, seus medos e desejos, para criar narrativas persuasivas. Ofertas de crédito fácil, vantagens exclusivas, limite alto sem burocracia e linguagem de “oportunidade única” são ferramentas clássicas nessa estratégia.
As perguntas feitas nos formulários – ainda que pareçam “normais” – também servem para mapear:
– nível de endividamento;
– capacidade de pagamento;
– urgência por crédito;
– poder aquisitivo aparente.
Com esse perfil em mãos, os fraudadores podem classificar os alvos e usar diferentes tipos de golpes para cada grupo. Alguém muito endividado pode receber nova abordagem de “renegociação”; já uma pessoa com bom potencial financeiro pode ser alvo de esquemas de investimento falso, por exemplo.
Como esses golpes chegam até as vítimas
As campanhas observadas têm sido amplamente divulgadas por meio de:
– anúncios em redes sociais;
– mensagens enviadas em massa por aplicativos de conversa;
– textos que circulam de contato em contato, com promessas de “oferta por tempo limitado” ou “vagas limitadas”.
O uso de imagens bem produzidas, nomes de empresas populares e textos persuasivos ajuda a reduzir o senso crítico do usuário, principalmente quando a mensagem vem acompanhada de um comentário de alguém conhecido, o que passa uma falsa sensação de recomendação.
Sinais de alerta para identificar golpes de coleta de CPF
Embora os criminosos invistam em aparência profissional, alguns sinais ajudam a identificar fraudes desse tipo:
– Promessas exageradas: crédito aprovado na hora, mesmo negativado, sem análise, limites muito acima da média ou benefícios “bons demais para ser verdade”.
– Urgência artificial: contagem regressiva, “últimas vagas”, “apenas hoje”, para forçar uma decisão rápida.
– Coleta de CPF logo no início do processo, antes de qualquer comprovação de legitimidade.
– Sites com endereços estranhos ou sem relação direta com o nome oficial da empresa.
– Erros gramaticais, textos mal traduzidos ou incoerentes.
– Pedidos de dados pessoais em páginas abertas, sem autenticação ou sem necessidade clara.
Se qualquer um desses pontos aparecer, a recomendação é interromper o preenchimento imediatamente e não informar CPF nem outros dados sensíveis.
Como se proteger de golpes que usam Shopee, Latam e outras marcas
Para reduzir o risco de cair em esquemas de coleta de CPF, algumas boas práticas são fundamentais:
1. Desconfie de ofertas recebidas por mensagem ou anúncios aleatórios
Mesmo que citem marcas conhecidas, considere toda oferta como suspeita até que você comprove sua veracidade diretamente nos canais oficiais da empresa.
2. Verifique o endereço do site (URL)
Antes de fornecer qualquer dado, observe atentamente o endereço que aparece no navegador. Sites oficiais geralmente usam domínios curtos, coerentes com o nome da marca. Endereços longos, com palavras estranhas ou variações suspeitas são fortes indícios de golpe.
3. Não informe CPF em qualquer formulário
Pergunte sempre: por que estão pedindo meu CPF? Para uma simples consulta de promoção, sorteio ou desconto, esse dado normalmente não é necessário.
4. Acesse direto o site ou aplicativo oficial
Se receber uma promoção “imperdível”, em vez de clicar no link, abra manualmente o site ou app da empresa e procure se aquela campanha realmente existe.
5. Evite compartilhar ofertas não verificadas
Ao encaminhar promoções suspeitas, você ajuda a ampliar o alcance do golpe. Se tiver dúvidas, é melhor apagar do que compartilhar.
6. Use soluções de segurança e mantenha dispositivos atualizados
Ferramentas de proteção digital e atualizações de sistema podem bloquear ou alertar sobre páginas maliciosas.
O que fazer se você já informou seu CPF em um site suspeito
Caso tenha fornecido seu CPF em uma página que agora parece fraudulenta, algumas medidas podem ajudar a mitigar danos:
– Fique atento a mensagens, ligações e e-mails sobre supostas ofertas de crédito, cobranças desconhecidas ou pedidos de confirmação de dados.
– Verifique periodicamente se há movimentações estranhas em seu nome em instituições financeiras com as quais você já se relaciona.
– Redobre o cuidado com outros golpes que usem seu CPF como “isca” para colher ainda mais dados (como senhas, códigos SMS e dados bancários).
– Caso identifique uso indevido de seu CPF, registre boletim de ocorrência e entre em contato com as instituições potencialmente envolvidas para contestar as operações.
Educação digital como principal barreira
Os golpes evoluem, as páginas fraudulentas ficam mais bem feitas e a engenharia social se torna cada vez mais sofisticada. Nesse cenário, a informação passa a ser a principal linha de defesa. Entender como esses esquemas operam, reconhecer promessas enganosas e adotar uma postura de desconfiança saudável é essencial para proteger o CPF e outros dados pessoais.
Da mesma forma que ninguém entregaria um documento físico a um desconhecido na rua, é fundamental ter o mesmo cuidado no ambiente digital. Antes de informar seu CPF em qualquer site, reflita: quem está pedindo, por que precisa desse dado e se há outra forma segura de confirmar aquela oferta. Em cibersegurança, poucos segundos de atenção podem evitar prejuízos que duram anos.