Entregas inesperadas, gift cards com QR Codes adulterados e até entregadores cobrando encomendas na porta de casa. Essas são algumas das técnicas de um golpe em expansão, conhecido como brushing. A fraude usa dados pessoais vazados para enviar produtos que a vítima nunca pediu.
A prática nasceu no e-commerce chinês, onde vendedores enviavam itens falsos para publicar avaliações positivas em marketplaces. Agora, criminosos estão explorando a técnica em versões mais perigosas, que envolvem roubo de dados e até golpes financeiros.
Como funciona o brushing
O golpe começa com a compra de bancos de dados vazados, que contêm informações como nome, endereço e telefone das vítimas. Com esses dados, os criminosos criam contas falsas em marketplaces e registram compras fictícias. Os produtos chegam de graça aos consumidores, que não fizeram nenhum pedido, enquanto os golpistas publicam avaliações positivas em seus perfis. Dessa forma, eles sobem no ranking de vendas e aumentam artificialmente sua avaliação.
Segundo a Kaspersky, o brushing ganhou novas versões mais perigosas. Agora, as caixas de entregas podem trazer QR Codes impressos ou números de telefone que direcionam a vítima para sites falsos. A técnica, chamada de quishing, funciona como um phishing via QR Code – ao escanear o código ou ligar para o número informado, o usuário corre o risco de ter senhas, dados bancários e informações pessoais roubados, além de expor seus dispositivos a malwares.
Outra versão dispensa a encomenda física. A vítima recebe apenas um aviso de entrega não concluída, acompanhado de QR Code ou número de telefone para reagendar. A interação já direciona para páginas fraudulentas.
Golpe de pagamento na entrega
Criminosos também usam o modelo “pague ao receber”. Em alguns casos, a vítima chega a esperar um produto anunciado previamente. Mas há versões em que o pacote aparece de surpresa na porta de casa.
O entregador cobra um valor 2 a 3 vezes menor que o preço de mercado, pressiona a vítima com um falso senso de urgência, recebe o pagamento e deixa a encomenda que, muitas vezes contém imitações dos produtos ou até mesmo, lixo.
Se a vítima se recusar a pagar, os criminosos podem tentar enganá-la pedindo um código de verificação único, alegando ser necessário para “cancelar o pedido”.
Alguns golpes são ainda mais sofisticados. Em 2023, donos de carteiras de hardware Ledger receberam pacotes falsos com supostos dispositivos de substituição. O produto, na verdade, era um pendrive com malware projetado para roubar frases-semente de carteiras de criptomoedas, um conjunto de palavras geradas aleatoriamente que funciona como chave mestra para acessar e recuperar uma carteira digital. Gangues como a FIN7 também já usaram pendrives USB enviados pelo correio para instalar ransomware em organizações.
Como se proteger do golpe da entrega?
O problema com esse tipo de golpe é que, se você recebeu a encomenda, seus dados já estão comprometidos, mas ainda é possível se proteger e evitar perdas financeiras. Para isso, é recomendável:
- Examinar a embalagem e fotografe por precaução;
- Nunca escanear QR Codes ou acessar links impressos;
- Não ligar para números desconhecidos;
- Nunca pagar taxas extras nem fornecer dados bancários;
- Jamais conectar pendrives ou dispositivos digitais não solicitados;
- Se o pacote vier de transportadoras conhecidas (Amazon, DHL, UPS etc.), verifique o status apenas no site oficial digitando manualmente o código de rastreio;
- Denunciar o caso ao serviço de entregas e às autoridades, mesmo que não tenha havido prejuízo financeiro.
Para saber como identificar e se proteger de golpes digitais, acompanhe o TecMundo no X, Instagram, Facebook e YouTube, e se inscreva em nossa newsletter para receber as principais notícias de cibersegurança e tecnologia.
