Fraudadores usam Shopee e Latam como isca para roubar CPF de brasileiros
Golpistas estão explorando o nome de grandes marcas, como Shopee e Latam, para aplicar golpes de coleta de CPF por meio de falsas ofertas de cartão de crédito e promoções irresistíveis. As campanhas fraudulentas imitam com alto nível de detalhamento a identidade visual dessas empresas e são usadas como ferramenta para roubar dados pessoais de usuários em todo o país.
Segundo especialistas em segurança digital da ESET, a estratégia combina engenharia social, segmentação de vítimas em situação financeira delicada e uso de páginas falsas que simulam processos legítimos de concessão de crédito, milhas e benefícios exclusivos. A promessa de vantagens como limite alto, isenção de anuidade e ausência de consulta ao SPC/Serasa é o elemento principal para convencer a vítima a avançar no golpe.
Essas campanhas enganosas circulam, principalmente, por meio de anúncios em redes sociais e mensagens enviadas em massa por aplicativos de conversas. Ao clicar no link, a vítima é direcionada para um site que, à primeira vista, parece totalmente confiável: cores, logotipos, layouts e até textos sobre “privacidade” e “proteção de dados” são copiados das páginas oficiais. Esse cuidado visual é essencial para diminuir a desconfiança e fazer o usuário acreditar que está lidando realmente com Shopee, Latam ou outra grande empresa.
De acordo com Daniel Barbosa, pesquisador de segurança da ESET Brasil, o foco real dessas ações não é conceder crédito ou benefícios, mas sim capturar informações sensíveis, principalmente o CPF. Com esse dado em mãos, criminosos podem abrir contas bancárias fraudulentas, solicitar crédito em nome da vítima, realizar compras, montar dossiês para golpes mais sofisticados e até usá-lo em combinações com outros vazamentos de dados já existentes.
Como funciona o golpe do cartão e das falsas promoções
O esquema costuma se apresentar como um processo comum de solicitação de cartão de crédito ou participação em uma promoção especial de uma grande marca. O usuário é guiado por etapas que se assemelham a um cadastro legítimo: ele escolhe supostos benefícios, responde perguntas sobre sua situação financeira e informa dados básicos.
Entre as perguntas mais frequentes, aparecem temas como:
– Faixa de renda mensal
– Situação no mercado de crédito (se está negativado ou não)
– Interesse em aumentar limite
– Preferência por benefícios como milhas, cashback ou descontos
Esse conjunto de perguntas não está ali por acaso. Ele serve para que os golpistas façam um perfil detalhado da vítima, identificando se ela se encontra em contexto de maior vulnerabilidade financeira, se tem restrições de crédito e qual o potencial de ser alvo de novos golpes no futuro. Com essas informações, os criminosos conseguem segmentar ainda mais suas campanhas e direcionar fraudes específicas para perfis mais propensos a acreditar em “ofertas milagrosas”.
Um ponto importante é que, independentemente das respostas fornecidas, o resultado é sempre o mesmo: o sistema “aprova” automaticamente o suposto cartão ou benefício. Esse falso sinal de aprovação é usado como gatilho psicológico para manter a vítima engajada e reduzir qualquer suspeita. Na sequência, vem a etapa mais crítica do golpe: a solicitação do CPF.
A etapa decisiva: coleta do CPF
Depois de passar por todas as telas e receber a confirmação de que seu pedido foi aprovado, o usuário é instruído a informar apenas um dado final para “validar a análise”: o CPF. Trata-se do verdadeiro objetivo da página fraudulenta. Em muitos casos, nem é solicitado mais nada – não pedem senha, não pedem número de cartão, justamente para dar a sensação de segurança e simplicidade.
Assim que o CPF é enviado, o site retorna uma mensagem genérica informando que “a consulta está temporariamente indisponível” ou que “ocorreu um erro inesperado, tente novamente mais tarde”. Para a vítima, fica a impressão de que o processo simplesmente falhou. Para o criminoso, o golpe foi concluído com sucesso, pois o dado já foi capturado e armazenado.
Os especialistas explicam que essa falsa mensagem de erro é uma tática clássica: serve para encerrar o contato sem levantar suspeitas. O usuário sai da página acreditando que nada foi efetivamente processado, quando, na realidade, seu CPF já entrou para o banco de dados de golpistas.
Versões mais simples, mas ainda perigosas
Além dessas campanhas mais elaboradas, com fluxo de “cadastro” e perguntas de perfil, também foram identificadas ações ainda mais básicas, voltadas à captura rápida de CPF e nome completo. Nesses casos, os sites apenas reproduzem superficialmente a aparência de páginas de companhias aéreas, varejistas ou bancos e exibem formulários reduzidos pedindo poucos dados.
Ao preencher o CPF e o nome e clicar em “enviar”, a página simplesmente recarrega, sem exibir qualquer mensagem de confirmação ou erro. Mesmo sem qualquer retorno visível ao usuário, as informações já foram encaminhadas ao servidor controlado pelos golpistas. Apesar de menos sofisticadas e, muitas vezes, mal traduzidas ou com erros de português, essas páginas continuam funcionando devido à força da marca utilizada como isca e à pressa das vítimas em não “perder a oportunidade”.
Por que o CPF é tão valioso para o cibercrime?
O CPF é um dos principais identificadores do cidadão brasileiro e, por isso, tem enorme valor no submundo digital. Com ele, criminosos podem:
– Abrir contas em bancos digitais ou carteiras virtuais em nome de terceiros
– Solicitar empréstimos, financiamentos e cartões de crédito fraudulentos
– Comprar produtos em crediário e não pagar pelas parcelas
– Atualizar cadastros em serviços já existentes para desviar benefícios
– Criar perfis falsos mais convincentes para novas fraudes de engenharia social
Quando o CPF é combinado com outros dados – como telefone, data de nascimento, endereço e informações profissionais – o risco aumenta ainda mais. Os golpistas conseguem simular com mais precisão a identidade da vítima, enganar serviços de verificação básica e até aplicar golpes em familiares e contatos próximos, utilizando informações verídicas para ganhar confiança.
Por que pessoas em situação financeira vulnerável são o principal alvo
As campanhas identificadas mostram um foco claro em usuários que enfrentam dificuldades financeiras, especialmente aqueles que já estão negativados ou com pouco acesso ao crédito tradicional. Promessas como “cartão sem consulta ao SPC/Serasa”, “aprovação imediata para quem tem nome sujo” e “limite alto garantido na hora” são construídas justamente para explorar a urgência e o desespero de quem busca uma saída rápida para dívidas ou falta de limite.
Para esse público, a possibilidade de conseguir crédito sem burocracia é extremamente sedutora. Isso reduz drasticamente o nível de desconfiança e faz com que muitos ignorem sinais de alerta, como erros no endereço do site, ofertas exageradas ou pedidos de dados sensíveis em páginas desconhecidas. Os criminosos sabem disso e calibram seus textos de maneira a atingir diretamente essas dores e fragilidades.
Como reconhecer sinais de golpe em ofertas de cartão e promoções
Embora a aparência das páginas fraudulentas seja, muitas vezes, convincente, quase sempre existem sinais que indicam perigo. Alguns pontos de atenção importantes:
– Endereço do site estranho, com erros de escrita ou domínios pouco conhecidos
– Ofertas muito acima do padrão de mercado, como limites altíssimos para negativados
– Promessas de aprovação garantida para qualquer situação financeira
– Erros de ortografia e texto genérico, sem informações legais claras
– Falta de política de privacidade consistente e termos de uso detalhados
– Falta de canal oficial de atendimento ou contato transparente
Outro cuidado essencial é desconfiar de links recebidos por mensagens e redes sociais, mesmo que tenham sido encaminhados por amigos ou familiares. Muitos golpes se espalham justamente porque uma vítima compartilha a falsa promoção acreditando que está ajudando outras pessoas.
Como se proteger de golpes de coleta de CPF
Especialistas em segurança digital recomendam uma série de boas práticas para reduzir o risco de cair em golpes de coleta de CPF:
1. Desconfie de ofertas “boas demais para ser verdade”, sobretudo quando prometem crédito fácil para negativados.
2. Nunca forneça CPF, dados bancários ou outras informações sensíveis em sites acessados por links de mensagens ou anúncios duvidosos.
3. Acesse promoções e ofertas sempre pelos canais oficiais da empresa – digitando o endereço diretamente no navegador ou usando o aplicativo oficial.
4. Verifique com atenção o endereço do site antes de preencher qualquer formulário. Pequenas alterações em letras e domínios diferentes costumam ser indícios de fraude.
5. Ative notificações em instituições financeiras e serviços de proteção ao crédito para ser avisado sobre abertura de contas, consultas ou movimentações suspeitas em seu CPF.
6. Mantenha dispositivos protegidos com soluções de segurança atualizadas, capazes de bloquear sites maliciosos e arquivos suspeitos.
O que fazer se você já forneceu seu CPF a um site suspeito
Se você acredita que digitou seu CPF em uma página possivelmente fraudulenta, a orientação é agir rapidamente:
– Fique atento a notificações de bancos e instituições financeiras sobre abertura de contas, cartões ou empréstimos em seu nome.
– Considere consultar periodicamente sua situação de crédito para identificar movimentações estranhas.
– Caso identifique contratos ou dívidas que não reconhece, registre boletim de ocorrência e entre em contato com as instituições envolvidas para contestar as operações.
– Redobre a atenção com ligações, e-mails e mensagens que usem seus dados pessoais para tentar passar mais credibilidade – isso pode ser um desdobramento do mesmo vazamento.
Embora não seja possível “trocar de CPF” como se troca de senha, é possível mitigar danos ficando vigilante e agindo com rapidez diante dos primeiros sinais de fraude.
Educação digital como principal linha de defesa
O aumento constante de golpes voltados à coleta de dados pessoais, especialmente na América Latina, mostra que os cibercriminosos estão cada vez mais profissionais e organizados. A combinação de engenharia social, uso de marcas conhecidas e exploração de vulnerabilidades financeiras cria um ambiente perfeito para que esse tipo de fraude continue se espalhando.
Por outro lado, a informação e a conscientização são ferramentas essenciais para reduzir o impacto dessas campanhas. Entender como os golpes funcionam, como o CPF pode ser utilizado de forma criminosa e quais são os sinais de alerta mais comuns ajuda usuários a tomarem decisões mais seguras no dia a dia digital.
Ao adotar uma postura mais crítica diante de ofertas fáceis e sempre verificar a legitimidade de sites e promoções antes de compartilhar dados, cada pessoa contribui para reduzir o sucesso desse tipo de fraude. Em um cenário em que o cibercrime tende a se tornar cada vez mais automatizado e impulsionado por novas tecnologias, a prudência continua sendo uma das armas mais eficientes na proteção dos dados pessoais.