Golpistas usam encomendas inesperadas para roubar dados e dinheiro

Receber um pacote que nunca foi solicitado deixou de ser apenas uma curiosidade para se tornar um sinal de alarme. Investigadores de cibersegurança identificaram a expansão de esquemas que recorrem a encomendas surpresa para obter informação pessoal, aplicar cobranças indevidas e infiltrar malware em dispositivos.

Esquema “brushing”: da manipulação de avaliações ao roubo de dados

A fraude tem origem no denominado “brushing”, prática iniciada em plataformas de comércio electrónico chinesas. Vendedores criam contas falsas, compram bases de dados vazadas com nome, morada e telefone de terceiros e registam pedidos fictícios. O produto é enviado gratuitamente ao destinatário, permitindo que o comerciante publique críticas positivas e suba nos rankings de venda.

O método evoluiu. Actualmente, as embalagens podem incluir QR codes ou números de apoio ao cliente impressos no exterior. Ao digitalizar o código ou ligar para o contacto, a vítima é direccionada para páginas que capturam credenciais bancárias ou instalam software malicioso. A técnica foi baptizada de quishing – uma versão do phishing que aproveita códigos QR.

Novas variantes: cobranças na porta e dispositivos adulterados

Outra adaptação do golpe elimina o envio físico. Os criminosos enviam SMS ou e-mails a comunicar uma tentativa de entrega falhada, acompanhados de um QR code ou link para reagendamento. Qualquer interacção basta para recolher palavra-passe ou dados de cartão de crédito.

Há ainda o modelo “pague ao receber”. Um estafeta, legítimo ou cúmplice, apresenta um pacote e exige um valor inferior ao encontrável no mercado, pressionando a decisão com urgência. O cliente paga, normalmente em numerário ou transferência rápida, e recebe um artigo contrafeito ou sem valor. Quando a cobrança é recusada, os burlões podem solicitar um “código de verificação” sob o pretexto de cancelar o pedido; o código, na realidade, conclui a compra fraudulenta online.

Casos mais sofisticados recorrem a dispositivos electrónicos adulterados. Em 2023, proprietários de carteiras de criptomoedas Ledger receberam pendrives enviados pelo correio, supostamente para substituição de unidades defeituosas. O acessório escondia malware concebido para capturar a frase-semente – a chave de recuperação da carteira – permitindo o desvio de activos digitais. Grupos como o FIN7 já recorreram a táctica semelhante para instalar ransomware em empresas, utilizando pens USB enviados em correspondência.

Riscos para o consumidor

Qualquer entrega não solicitada indica, desde logo, que informação pessoal circula em bases de dados clandestinas. O simples acto de digitalizar um QR code pode expor:

• Palavras-passe de e-mail e redes sociais;
• Credenciais bancárias ou de serviços de pagamento;
• Dados pessoais adicionais usados para engenharia social;
• Dispositivos a malware que regista teclas, acede à câmara ou injeta anúncios.

Como reduzir o impacto e evitar prejuízos

Especialistas em segurança recomendam uma série de procedimentos imediatos sempre que uma encomenda inesperada surgir:

• Inspeccionar a embalagem e fotografar todos os lados para eventuais provas.
• Não digitalizar QR codes nem abrir links ou números impressos no pacote.
• Recusar pagamentos adicionais e não partilhar códigos de confirmação.
• Não ligar para números desconhecidos que acompanham avisos de entrega.
• Evitar ligar pendrives ou qualquer aparelho electrónico não solicitado.
• Confirmar entregas apenas nos sites oficiais das transportadoras, introduzindo manualmente o número de rastreio.
• Denunciar o incidente à transportadora e às autoridades competentes, mesmo sem perdas financeiras.

Embora o pacote possa parecer um bónus inesperado, o conteúdo raramente é inofensivo. A expansão do brushing e das suas variantes mostra que os cibercriminosos adaptam métodos tradicionais de publicidade fraudulenta para esquemas mais lucrativos, combinando engenharia social, phishing e malware. A vigilância perante qualquer entrega fora do normal é, por isso, a primeira linha de defesa.