Golpistas pagam por contas verificadas no WhatsApp e anúncios no Google para enganar clientes

Contas com selo de verificado no WhatsApp e anúncios pagos no Google estão sendo usados por golpistas para simular legitimidade e aplicar fraudes, em especial nos clientes que aguardam entregas de encomendas nos Correios ou na Total Express, que transporta produtos da Amazon.

No WhatsApp Business, o selo de verificado aparece como um pequeno ícone azul ao lado do nome da conta e indica que aquela empresa está registrada no aplicativo. Segundo a política da Meta, existem dois tipos de verificação: uma, de autenticidade, que confere se uma marca muito conhecida é real, e outra obtida por meio da assinatura do serviço pago Meta Verified. Não há elementos visuais que diferenciem um do outro, de acordo com a empresa.

A Meta não se posicionou sobre as etapas de verificação do serviço pago até a publicação desta reportagem. O Google diz que combina revisão humana e inteligência artificial para identificar possíveis violações das políticas de publicidade.

Para Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, essa possibilidade de comprar o selo cria uma falsa sensação de segurança. "A falsificação de verificadores é uma técnica que os criminosos brasileiros usam desde 2010, quando começaram a falsificar o cadeado nos navegadores. O objetivo deste golpe é passar um ar de legitimidade, aumentando as chances das vítimas acreditarem."

Uma advogada de São Paulo, Giovanna Parisan, 35, recebeu mensagem no WhatsApp com seu nome completo, endereço e número de celular. A foto do perfil se parecia com a logo da Total Express, mas o nome estava com uma letra "o" a mais no final e o número era da Índia. Ainda assim, o selo de verificado chamou sua atenção.

"Eu já estava esperando alguma comunicação da minha encomenda, que estava atrasada. Mas como a minha compra era de um site brasileiro, percebi que era golpe, porque eu sabia que não precisaria pagar taxa nenhuma. Quando abri o perfil, tinha o link de um site da Índia", diz.

Ela abriu reclamação contra a Total Express na plataforma Reclame Aqui, relatando o atraso na entrega e um receio de vazamento de dados, já que a mensagem chegou assim que sua encomenda atrasou. A transportadora respondeu, na própria plataforma, que não houve incidente de segurança e que também é vítima de fraudes que usam indevidamente sua marca.

Kathyllen Gomes Paulino, 30, supervisora financeira, também recebeu mensagens com o selo de verificado da "Total Expresso". "Por ser uma empresa de grande porte, acreditamos que o processo de verificação seja rigoroso, mas ainda assim procuro analisar o conteúdo antes de clicar em qualquer link", conta.

A Total Express disse estar ciente das tentativas de golpe e afirma que comunica os consumidores em seus canais oficiais que a empresa não faz qualquer tipo de cobrança. Em caso de dúvida, os clientes devem acessar os contatos legítimos no site www.totalexpress.com.br. "Estamos atuando na remoção de contas falsas em parceria com provedores e direcionamos a denúncia para os órgãos competentes", completa.

Já a Amazon informou que a segurança é prioridade na empresa e que a proteção da privacidade das informações pessoais dos consumidores é de suma importância. A empresa diz trabalhar com ferramentas e pessoas para proteger a loja e os clientes de fraudes e outras formas de abuso. "Temos uma seção em nosso site de Segurança e Privacidade em que os consumidores podem ter mais informações", afirma.

Outros golpes com verificado recentes envolvem operadoras de celular, por exemplo, que fingem ser uma assistente virtual oficial -e inclusive citam o verificado como garantia de segurança-, além de escritórios de advocacia.

Lucas Mortati, da equipe jurídica da Advocacia Sandoval Filho, conta que desde 2017 criminosos se passam por advogados do escritório, usando imagens reais dos funcionários e dados públicos de processos.

"Antes era por email ou telefone. Agora usam WhatsApp, dizem que é necessário pagar taxa para isentar o Imposto de Renda ou liberar o precatório. Em um caso recente, de novembro do ano passado, até selo de verificado tinham. A cliente, que tinha 73 anos, desconfiou e nos procurou antes de transferir."

Segundo ele, o escritório orienta vítimas a registrar boletim de ocorrência, denunciar ao banco e, se necessário, recorrer ao Procon ou à Justiça para tentar reaver valores. "Qualquer pessoa se abala com um golpe desses, porque atinge especialmente os mais velhos", diz Mortati.

ANÚNCIOS DO GOOGLE TAMBÉM SÃO USADOS

Em paralelo, golpistas compram anúncios no Google para aparecerem no topo das buscas e se misturarem aos resultados legítimos, aumentando as chances de enganar o usuário. Esses anúncios têm atraído quem pesquisa termos como "rastrear encomenda" ou "site dos Correios".

Ao clicar, a vítima é direcionada a páginas que imitam a identidade visual das empresas oficiais, mas que contêm formulários para pagamento de taxas inexistentes ou para coleta de dados pessoais e bancários.

Os Correios dizem que alertam os clientes sobre os golpes e reforçam que todos os serviços de encomendas internacionais devem ser realizados exclusivamente pelo aplicativo oficial, o Meu Correios. "A empresa monitora constantemente esse tipo de ação contra clientes e segue alertando sobre a disseminação de mensagens falsas, usando o nome e a marca da estatal de forma indevida. Sempre que necessário, a Polícia Federal é acionada", diz.

Em um dos anúncios capturados pela reportagem, o título dizia "Localize Seu Pacote Agora - Rastreie Seu Pedido Fácil" e convidava o usuário a "acompanhar sua entrega". Outro oferecia "Rastreamento Correios - Localize Seu Pacote Agora".

O site ao qual a vítima é redirecionada exibe fundo branco e cores azul e amarela, características dos Correios, para criar uma falsa sensação de legitimidade. No entanto, falta qualquer dado básico de identificação: não há informações institucionais, CNPJ ou links para políticas de privacidade no rodapé.

Questionado, o Google diz que combina revisão humana e IA (inteligência artificial) para identificar possíveis violações das políticas de publicidade, que todos os anunciantes devem seguir. Em 2024, informou ter removido 200 milhões de anúncios irregulares no Brasil e ter suspendido mais de 1 milhão de contas de anunciantes.

VAZAMENTOS DE DADOS POTENCIALIZAM FRAUDES

No mês passado, os Correios confirmaram acesso indevido aos dados de 2% de sua base de 35 milhões de cadastros -o que seria cerca de 800 mil usuários-, incluindo nomes, CPFs, emails, endereços e telefones. A estatal afirma que os golpes já eram praticados antes do vazamento e que não houve relação direta.

"Assim que identificada, os Correios fizeram a correção da vulnerabilidade e adicionalmente realizaram o bloqueio de IPs suspeitos, novos testes de negócio e de segurança e implantaram novas políticas e protocolos de segurança cibernética", afirmam.

Para David González, especialista da ESET Latinoamérica, dados como nome completo, CPF, telefone e email são valiosos para cibercriminosos aplicarem golpes de engenharia social. "Com essas informações, constroem mensagens direcionadas e convincentes."

Os Correios dizem que não enviam mensagens por email, SMS ou Whatsapp sobre objetos bloqueados ou pagamento de taxas. Para não cair em golpes, os usuários devem verificar o status de suas encomendas no site da estatal (www.correios.com.br) ou por meio do aplicativo Correios, onde é possível rastrear encomendas e pagar tributos de importação, entre outros serviços. Também é indicado acompanhar os perfis oficiais dos Correios nas redes sociais para obter informações seguras.

COMO SE PROTEGER DE GOLPES?

- Desconfie de cobranças por WhatsApp ou SMS, mesmo vindas de contas verificadas

- Verifique sempre no site oficial antes de qualquer pagamento

- Cheque a URL do site, que pode ter pequenas variações

- Nunca forneça dados bancários por mensagens recebidas

- Ative autenticação em dois fatores em todos os aplicativos

- Monitore seu CPF em serviços como Registrato, do Banco Central

Como orientação específica para os clientes da Amazon, a empresa afirma que não pede pagamentos via telefone, email, WhatsApp, SMS ou redes sociais e recomenda:

- Usar apenas o site amazon.com.br ou o aplicativo oficial, inclusive para realizar pagamentos ou rastrear encomendas

- Ficar atento se receber mensagens ou ligações com falsas urgências, pedidos de informações pessoais, solicitações de pagamento fora da Amazon via cartão de crédito, Pix, boleto ou transferência bancária

- Utilizar uma senha exclusiva para sua conta da Amazon que não seja utilizada para outras contas online

- Sair da conta quando terminar de usar um computador compartilhado

- Ao receber um email, procurar sempre pelo "sorriso" da Amazon

- Caso o cliente receba uma mensagem sobre uma compra que não realizou, deve entrar em sua conta Amazon e conferir seu histórico de pedidos antes de tomar qualquer ação

- Não clicar em links suspeitos de emails ou mensagens recebidas via WhatsApp ou SMS

- Se o cliente receber um pacote de um pedido que não realizou, não deve aceitar o recebimento

- Denunciar qualquer mensagem suspeita no email [email protected]

- Caso o cliente ainda não se sentir 100% seguro, entrar em contato com a Amazon por meio do SAC (Serviço de Atendimento ao Consumidor) pelo telefone 08000380541 ou pelo email [email protected]

Notícias ao Minuto