Receber um pacote que nunca foi solicitado deixou de ser apenas uma curiosidade para se tornar um sinal de alarme. Investigadores de cibersegurança identificaram a expansão de esquemas que recorrem a encomendas surpresa para obter informação pessoal, aplicar cobranças indevidas e infiltrar malware em dispositivos.
Esquema “brushing”: da manipulação de avaliações ao roubo de dados
A fraude tem origem no denominado “brushing”, prática iniciada em plataformas de comércio electrónico chinesas. Vendedores criam contas falsas, compram bases de dados vazadas com nome, morada e telefone de terceiros e registam pedidos fictícios. O produto é enviado gratuitamente ao destinatário, permitindo que o comerciante publique críticas positivas e suba nos rankings de venda.
O método evoluiu. Actualmente, as embalagens podem incluir QR codes ou números de apoio ao cliente impressos no exterior. Ao digitalizar o código ou ligar para o contacto, a vítima é direccionada para páginas que capturam credenciais bancárias ou instalam software malicioso. A técnica foi baptizada de quishing – uma versão do phishing que aproveita códigos QR.
Novas variantes: cobranças na porta e dispositivos adulterados
Outra adaptação do golpe elimina o envio físico. Os criminosos enviam SMS ou e-mails a comunicar uma tentativa de entrega falhada, acompanhados de um QR code ou link para reagendamento. Qualquer interacção basta para recolher palavra-passe ou dados de cartão de crédito.
Há ainda o modelo “pague ao receber”. Um estafeta, legítimo ou cúmplice, apresenta um pacote e exige um valor inferior ao encontrável no mercado, pressionando a decisão com urgência. O cliente paga, normalmente em numerário ou transferência rápida, e recebe um artigo contrafeito ou sem valor. Quando a cobrança é recusada, os burlões podem solicitar um “código de verificação” sob o pretexto de cancelar o pedido; o código, na realidade, conclui a compra fraudulenta online.
Casos mais sofisticados recorrem a dispositivos electrónicos adulterados. Em 2023, proprietários de carteiras de criptomoedas Ledger receberam pendrives enviados pelo correio, supostamente para substituição de unidades defeituosas. O acessório escondia malware concebido para capturar a frase-semente – a chave de recuperação da carteira – permitindo o desvio de activos digitais. Grupos como o FIN7 já recorreram a táctica semelhante para instalar ransomware em empresas, utilizando pens USB enviados em correspondência.
Riscos para o consumidor
Qualquer entrega não solicitada indica, desde logo, que informação pessoal circula em bases de dados clandestinas. O simples acto de digitalizar um QR code pode expor:
- Palavras-passe de e-mail e redes sociais;
- Credenciais bancárias ou de serviços de pagamento;
- Dados pessoais adicionais usados para engenharia social;
- Dispositivos a malware que regista teclas, acede à câmara ou injeta anúncios.
Como reduzir o impacto e evitar prejuízos
Especialistas em segurança recomendam uma série de procedimentos imediatos sempre que uma encomenda inesperada surgir:
- Inspeccionar a embalagem e fotografar todos os lados para eventuais provas.
- Não digitalizar QR codes nem abrir links ou números impressos no pacote.
- Recusar pagamentos adicionais e não partilhar códigos de confirmação.
- Não ligar para números desconhecidos que acompanham avisos de entrega.
- Evitar ligar pendrives ou qualquer aparelho electrónico não solicitado.
- Confirmar entregas apenas nos sites oficiais das transportadoras, introduzindo manualmente o número de rastreio.
- Denunciar o incidente à transportadora e às autoridades competentes, mesmo sem perdas financeiras.
Embora o pacote possa parecer um bónus inesperado, o conteúdo raramente é inofensivo. A expansão do brushing e das suas variantes mostra que os cibercriminosos adaptam métodos tradicionais de publicidade fraudulenta para esquemas mais lucrativos, combinando engenharia social, phishing e malware. A vigilância perante qualquer entrega fora do normal é, por isso, a primeira linha de defesa.
