Pesquisadores de segurança identificaram uma campanha massiva de phishing direcionada a brasileiros que busca roubar dados pessoais se passando pelo Serasa. Os criminosos registraram mais de 600 domínios falsos e estão usando a infraestrutura do GitHub, plataforma legítima da Microsoft, para hospedar páginas fraudulentas.
A operação funciona como uma verdadeira empresa de tecnologia, com sistemas automatizados de deploy, logs organizados e processos de criação de sites em escala. Arquivos vazados mostram que centenas de brasileiros já tiveram CPF, telefone, e-mail e outros dados pessoais roubados.
Como funciona o golpe
O esquema começa com a vítima recebendo links através de anúncios no Facebook e Instagram, mensagens no WhatsApp ou até SMS. Os domínios registrados pelos criminosos têm nomes atraentes em português, como “20limpeseguronome.shop”, “20promocoesdejaneiro2026.shop” e “20saldaopromocfimdeanonovembrobr2025.shop”.
Quando a pessoa clica no link, é redirecionada para uma página hospedada no GitHub Pages, serviço gratuito da Microsoft para publicação de sites. O endereço final tem formato como “ellenp32mcguirevg7-netizen.github.io/megasausaodejaneiro2026”, o que confere aparência de legitimidade por estar associado ao domínio github.io.
A página falsa imita o visual do Serasa com alta qualidade. Ela solicita o CPF da vítima sob o pretexto de “consulta gratuita” ou “verificação para promoção exclusiva”.
Depois de digitar o documento, aparece uma animação de carregamento que simula estar processando os dados, quando na verdade é apenas um efeito visual programado em JavaScript para ganhar tempo e credibilidade.
Esse código simplesmente conta de 0% a 100% em cerca de 3 segundos, sem fazer qualquer consulta real. É puro teatro para convencer a vítima de que o sistema é legítimo.
Automação em escala industrial
O que torna essa campanha particularmente preocupante é o nível de automação. Logs vazados mostram que os criminosos desenvolveram scripts que criam novos sites automaticamente.
O sistema compacta arquivos HTML, CSS e JavaScript em formato ZIP, cria novos repositórios no GitHub via API, faz upload dos arquivos, ativa o GitHub Pages e registra tudo em logs organizados.
Os criminosos também configuraram GitHub Actions para manter os sites atualizados automaticamente. Quando um repositório é derrubado, o sistema cria outro no lugar, tornando o combate extremamente difícil.
Além do GitHub, a operação também usa o Netlify, outra plataforma gratuita de hospedagem, como estratégia de diversificação. Se uma plataforma bloqueia os sites, a outra continua funcionando.
Dados das vítimas já vazaram
Arquivos obtidos pelos pesquisadores revelam um banco de dados em formato JSON com informações de pelo menos 311 vítimas, incluindo CPF completo, nome completo, e-mail, telefone, cidade e estado, e timestamps das capturas.
O campo “deploy_status: sucesso” indica que o sistema dos criminosos rastreia a eficácia de cada campanha, permitindo otimizar as páginas que convertem mais vítimas.
Múltiplas plataformas e canais de distribuição
Os mais de 600 domínios registrados servem como “portas de entrada” que redirecionam para as páginas no GitHub. A extensão .shop foi escolhida por ser barata (cerca de US$ 3-5 por ano) e fácil de registrar em massa.
Os criminosos distribuem os links através de:
- Anúncios pagos em redes sociais com mensagens como “Limpe seu nome HOJE com 90% de desconto!” ou “Últimas vagas para negociação de dívidas”;
- Mensagens em massa no WhatsApp usando listas de telefones obtidas em vazamentos anteriores ou compradas no mercado negro;
- SMS (smishing) com textos urgentes como “SERASA: Detectamos R$ 8.450 em dívidas. Regularize em 48h”;
- Otimização para motores de busca (SEO) fazendo os sites falsos aparecerem quando pessoas procuram por “como limpar nome serasa” ou “consulta cpf gratis”.
Por que é tão difícil combater
A operação explora uma vulnerabilidade sistêmica: plataformas legítimas sendo usadas para fins ilegítimos. O GitHub não pode simplesmente bloquear todos os repositórios suspeitos sem investigar caso a caso, pois milhões de desenvolvedores usam o serviço legitimamente.
Quando autoridades conseguem derrubar alguns sites, novos surgem automaticamente. Com sistemas automatizados criando sites mais rápido do que podem ser derrubados, o combate se torna extremamente difícil.
Outro fator que dificulta a detecção é que o código em si não tem nada tecnicamente malicioso. São páginas HTML normais, com JavaScript comum. A malícia está na intenção, não no código, o que faz sistemas automatizados de segurança não detectarem o problema.
O destino dos dados roubados
CPFs e dados pessoais coletados nessas campanhas são vendidos em mercados clandestinos por valores que variam de R$ 5 a R$ 150 por registro, dependendo da completude das informações.
Esses dados são usados para abertura de contas bancárias falsas, solicitação de empréstimos fraudulentos, aplicação de golpes mais direcionados (vishing), criação de documentos falsos e até cometer crimes em nome da vítima.
O estrago pode durar anos na vida financeira de quem cai no golpe, com score de crédito destruído, negativações indevidas e dificuldades para conseguir financiamentos ou até emprego.
Como se proteger
Para evitar cair nesse tipo de golpe, especialistas recomendam:
- Nunca clicar em links de mensagens ou anúncios sobre consulta de CPF ou “limpeza de nome”. Sempre digite o endereço oficial diretamente no navegador;
- Verificar a URL com atenção. O site oficial do Serasa é www.serasa.com.br — qualquer variação disso, incluindo endereços com “github.io” no meio, é falsa;
- Desconfiar de promessas tentadoras como “90% de desconto” ou “últimas vagas”. Empresas sérias não trabalham com urgência artificial;
- Não confiar apenas no cadeado de segurança. O certificado SSL (cadeado verde) só indica que a conexão é criptografada, não que o site é legítimo;
- Usar os favoritos do navegador para acessar sites importantes, em vez de clicar em links recebidos;
- Ativar autenticação em dois fatores em contas bancárias e serviços importantes.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.
