Golpistas estão explorando falsas ofertas de cartão de crédito supostamente associadas à Shopee e páginas que imitam promoções de grandes marcas, como a Latam, para coletar o CPF de vítimas no Brasil. O alerta é da ESET, empresa líder em detecção proativa de ameaças, após a identificação de campanhas maliciosas que utilizam engenharia social e sites fraudulentos para simular processos legítimos de concessão de crédito e benefícios exclusivos, como limite elevado, isenção de consulta ao SPC/Serasa e anuidade zero.
As campanhas são divulgadas principalmente por anúncios em redes sociais e disparos em massa em aplicativos de mensagens, direcionando o usuário para sites falsos que reproduzem com alto grau de fidelidade a identidade visual de empresas conhecidas. Além do uso de logotipos e cores oficiais, os criminosos inserem mensagens sobre “segurança” e “proteção de dados” para reforçar a falsa sensação de legitimidade.
“O objetivo da campanha é enganar o usuário ao oferecer benefícios/condições vantajosas e, na realidade, coletar dados sensíveis. O CPF é extremamente valioso para fraudes futuras, abertura de contas, golpes financeiros e até engenharia social mais direcionada”, alerta Daniel Barbosa, pesquisador de segurança da ESET Brasil.
O golpe se apresenta como um processo legítimo de solicitação de cartão de crédito. Ao longo do fluxo, a vítima é convidada a escolher supostos benefícios e responder perguntas sobre vínculo trabalhista, renda mensal e existência de restrições no CPF. Conjunto de perguntas que indica claramente um perfilamento das vítimas, permitindo que os criminosos avaliem o potencial financeiro e decidam se o alvo será explorado novamente em abordagens futuras.
A campanha demonstra foco especial em pessoas financeiramente vulneráveis, como usuários negativados ou com restrições de crédito, para quem promessas como “crédito sem consulta” e “aprovação imediata” são especialmente atrativas. E, independente das respostas fornecidas, o site sempre informa que o cartão foi aprovado. Na etapa final, o usuário é instruído a preencher apenas um dado: o CPF.
Após o envio, a página exibe uma mensagem genérica informando que a “consulta está temporariamente indisponível”. Na prática, o dado já foi transmitido aos cibercriminosos, encerrando o golpe.
Além das fraudes mais elaboradas, a ESET identificou campanhas mais simples, que também visam a coleta de CPF e nome completo. Nesses casos, sites fraudulentos copiam a identidade visual de companhias aéreas e grandes empresas, solicitam os dados e recarregam a página sem qualquer aviso ou mensagem de erro.
Como se proteger de golpes de coleta de CPF
A ESET recomenda atenção redobrada ao fornecer dados pessoais na internet. Entre as principais orientações estão:
- Verificar sempre o endereço do site, mesmo que o visual pareça legítimo
- Desconfiar de ofertas com benefícios excessivamente vantajosos
- Nunca informar CPF ou outros dados sensíveis fora de canais oficiais
- Evitar clicar em anúncios ou links recebidos por mensagens sem verificação prévia
- Manter um antivírus confiável, atualizado e ativo para bloquear páginas maliciosas e arquivos suspeitos
