Os sites que atraem uma grande massa de usuários também se tornam plataformas atraentes para cibercriminosos que buscam realizar todo tipo de fraudes em vítimas desavisadas. O Mercado Livre e sua plataforma de transações, o Mercado Pago, são exemplos disso. Por essa razão, a ESET apresentou algumas das fraudes mais comuns, utilizando o nome das plataformas em 2023.
“O Mercado Livre ultrapassou os 100 milhões de usuários ativos e lá ocorrem 40 compras por segundo. Além disso, a empresa conta com o Mercado Pago, que registra mais de 200 transações por segundo. Devido ao seu alcance natural, pode ser muito atraente para oportunistas que buscam ficar com o dinheiro dos usuários. A própria empresa destaca a importância de cuidar da segurança e oferece conselhos para não cair em fraudes e enganos mais comuns ao operar em suas plataformas”, comenta Martina Lopez, Pesquisadora de Segurança da Informação da ESET América Latina.
O phishing é um ataque que utiliza engenharia social e busca que a vítima entregue conscientemente o que o cibercriminoso deseja (dinheiro, dados) sem realizar espionagem no dispositivo ou roubar arquivos. Serviços bancários e empresas cuja operação envolve informações creditícias ou de pagamento são de interesse para essas fraudes.
Para isso, o atacante envia um e-mail fazendo a vítima acreditar que é um aviso oficial, alertando sobre um problema de segurança ou movimento suspeito, e que é necessário verificar a identidade para recuperar o acesso ou evitar a suspensão da conta. Uma alternativa recorrente é apelar para grandes ofertas ou presentes.
O objetivo é o mesmo: fazer com que a vítima envie suas informações, acreditando tratar-se de uma comunicação legítima. Assim, o atacante fica com as credenciais de acesso e dados como os números de seus cartões. Também são comuns as campanhas no WhatsApp que utilizam desculpas para despertar o interesse de potenciais vítimas. Uma muito frequente é a promessa de presentes ou sorteios em comemoração ao aniversário da empresa.
Essas fraudes que circulam no WhatsApp solicitam que a vítima encaminhe a mensagem para uma quantidade de contatos a fim de receber o benefício, que na realidade não existe. No entanto, isso assegura ao cibercriminoso que a mensagem se propague e que alguma vítima caia na armadilha ao recebê-la de um contato conhecido.
Outra variante é tentar cobrar o envio por um meio não associado ao Mercado Livre, deixando a vítima sem o respaldo da plataforma. O estelionatário oferece artigos de grande valor e alta demanda (celulares, computadores) por preços muito baixos e propõe fazer o envio de maneira particular.
Quando a vítima compra um produto, o estelionatário solicita o pagamento de um envio caro fora da plataforma. E para evitar suspeitas, pede que seja feito via Mercado Pago (ou outra forma) para associar os processos, o que é falso. Após a vítima enviar o dinheiro e efetuar a compra, o vendedor a desconhece ou a anula.
Embora isso geralmente signifique que o dinheiro é reembolsado ao comprador, neste caso, o sistema não reconhece o dinheiro do envio como parte da compra (pois foi feito fora), e, portanto, não há transação a reverter. O comprador não recebe o produto, e o estelionatário fica com o dinheiro enviado.
O Mercado Livre também é usado para tentar atrair pessoas com oportunidades de ganhar dinheiro fácil, dedicando poucos minutos por dia. As vítimas são atraídas para se registrar em uma plataforma para realizar pedidos virtuais em sites de compras, aumentando assim as vendas e avaliações dos produtos.
À medida que completam as tarefas e acumulam ganhos, a plataforma pede depósitos de dinheiro cada vez maiores. Mas o valor aumenta exageradamente: se a vítima não depositar o dinheiro, não poderá retirar os ganhos, percebendo então que é uma fraude.
Também existem fraudes direcionadas aos vendedores, como aquela que se baseia em aproveitar uma distração que a vítima pode ter ao vender um produto. O estelionatário compra um objeto de grande valor e paga com um cartão de crédito associado a outra pessoa. Se o vendedor que recebe o dinheiro não perceber essa diferença de identidade, pode ser tarde demais.
O Mercado Pago dá ao comprador a possibilidade de desconhecer a compra para recuperar o dinheiro. Assim, a pessoa que pagou remotamente desfaz a transação, e quando o vendedor percebe, não consegue identificar o cibercriminoso: o desconhecimento é feito segundos após a transação.
Com o Mercado Livre, o estelionatário retira a compra presencialmente, mas no site declara que não foi assim e solicita o reembolso. A diferença na identidade entre quem pagou a compra e quem a retirou dá espaço para prejudicar o vendedor, que perde o dinheiro e o produto.
A fraude geralmente se aproveita de uma identidade roubada em fraudes anteriores ou pode envolver cibercriminosos agindo em conjunto. Para essas situações, os vendedores têm o respaldo do programa de proteção ao vendedor, desde que tenham realizado suas transações dentro da plataforma.
Esse tipo de fraude visa compradores e vendedores e envolve produtos de alto valor. No caso dos compradores, o estelionatário se passa por vendedor, com pouca informação pública e sem avaliações. Ele publica produtos caros a preços atraentes, com imagens baixadas da internet. Após a compra, a vítima recebe um objeto de tamanho e peso semelhantes, mas que não é o esperado.
Na direção do vendedor, o estelionatário faz a compra e, ao recebê-la, a declara como defeituosa e solicita o reembolso. Isso envolve o envio do produto pelo comprador ao vendedor, para depois desfazer a operação de pagamento pelo comprador. Aqui, a fraude entra em ação, pois o dinheiro é devolvido, mas o suposto produto defeituoso nunca retorna ao vendedor. Diante desse tipo de operação, se você é vendedor, pode acessar um representante para resolver a situação pela opção ‘ajuda’.
O site que tenta se passar pelo Mercado Livre utiliza o logotipo do Mercado Pago para gerar confiança, mas seu domínio não tem relação com o oficial. Isso permite detectar a fraude ao verificar a URL. Sempre verifique o domínio ao receber um e-mail e confirme a autenticidade do remetente.
Para promover a fraude, os cibercriminosos fazem anúncios no Facebook ou YouTube com ofertas irresistíveis, o que é um segundo sinal de alerta: os preços são bons demais para serem reais. Uma vez que a vítima clica em ‘Comprar’, ela é direcionada para uma página que solicita dados pessoais, incluindo número do cartão e código de segurança.