A equipe de pesquisa da ESET identificou recentemente que golpistas estão explorando falsas ofertas de cartão de crédito supostamente associadas à Shopee para coletar informações como o CPF das vítimas. A campanha maliciosa propagada pelos cibercriminosos utiliza engenharia social e sites falsos para simular processos legítimos de concessão de crédito e benefícios exclusivos, como limite elevado, isenção de consulta ao SPC/Serasa e anuidade zero.

Como o golpe ocorre

O golpe é propagado principalmente por anúncios em redes sociais e disparos em massa em aplicativos de mensagens, direcionando o usuário para sites falsos que reproduzem com alto grau de fidelidade a identidade visual de empresas conhecidas. Além do uso de logotipos e cores oficiais, os criminosos inserem mensagens sobre “segurança” e “proteção de dados” para reforçar a falsa sensação de legitimidade.

golpe_shopee1
Imagem 1. Campanha se faz passar pela Shopee para oferecer cartão de crédito falso.

Neste caso encontrado em circulação, o objetivo da campanha é enganar o usuário ao oferecer benefícios e condições vantajosas e, na realidade, coletar dados sensíveis. “O CPF é extremamente valioso para fraudes futuras, abertura de contas, golpes financeiros e até engenharia social mais direcionada”, destaca Daniel Barbosa, pesquisador de segurança da ESET Brasil.

Inicialmente, o golpe se apresenta como um processo legítimo de solicitação de cartão de crédito. Ao longo do fluxo, a vítima é convidada a escolher supostos benefícios e responder a perguntas sobre:

  • Tipo de vínculo trabalhista;
  • Faixa de renda mensal;
  • Existência de restrições no CPF.
golpe_shopee2
Imagem 2. Questionário usado no golpe.

Esse conjunto de perguntas indica uma tentativa clara de perfilamento das vítimas, permitindo que os criminosos avaliem o potencial financeiro e decidam se o alvo será explorado novamente em abordagens futuras.

A campanha demonstra foco especial em pessoas financeiramente vulneráveis, como usuários negativados ou com restrições de crédito, para quem promessas como “crédito sem consulta” e “aprovação imediata” são especialmente atrativas.

Independentemente das respostas fornecidas, o site sempre informa que o cartão foi aprovado. Na etapa final, o usuário é instruído a preencher apenas um dado: o CPF.

golpe_shopee3
Imagem 3. Tela final do golpe.

Após o envio, a página exibe uma mensagem genérica informando que a “consulta está temporariamente indisponível”. Na prática, o dado já foi transmitido aos cibercriminosos, encerrando o golpe.

“A falsa mensagem de erro é apenas um artifício para reduzir suspeitas. O usuário acredita que o processo falhou, quando, na verdade, a informação já foi capturada”, explica Daniel Barbosa.

Como se proteger de golpes de coleta de CPF

O ideal é manter a atenção redobrada ao fornecer dados pessoais na internet. Entre as principais orientações estão:

  • Verificar sempre o endereço do site, mesmo que o visual pareça legítimo;
  • Desconfiar de ofertas com benefícios excessivamente vantajosos;
  • Nunca informar CPF ou outros dados sensíveis fora de canais oficiais;
  • Evitar clicar em anúncios ou links recebidos por mensagens sem verificação prévia;
  • Manter um antivírus confiável, atualizado e ativo para bloquear páginas maliciosas e arquivos suspeitos.