Criminosos lançam campanhas digitais com páginas falsas que simulam promoções de marcas conhecidas, incluindo Shopee e LATAM, com o objetivo de induzir as vítimas a solicitar cartões de crédito. As páginas se apresentam com aparência idêntica às empresas verdadeiras, buscando transmitir legitimidade por meio de logotipos, cores e mensagens de segurança aparentes.
Segundo a ESET Brasil, as campanhas têm ampla difusão por meio de anúncios em redes sociais e mensagens em massa enviadas por aplicativos de mensagem. O objetivo do golpe é que o usuário acabe fornecendo o CPF, além de dados associados à situação financeira, sob o pretexto de uma suposta parceria com as marcas.
Durante o suposto cadastro, as vítimas são convidadas a selecionar vantagens e responder perguntas sobre vínculo trabalhista, faixa de renda e existência de restrições no CPF. O pesquisador de segurança Daniel Barbosa ressalta que o CPF é muito valorizado por fraudadores para abertura de contas, golpes financeiros e para direcionar ataques sociais mais refinados no futuro.
A prática é descrita pela ESET como voltada a pessoas com maior vulnerabilidade econômica, para quem promessas de aprovação rápida podem soar mais plausíveis. Em alguns casos, o site chega a informar que o cartão foi aprovado mesmo sem os dados completos, pedindo apenas o CPF na etapa final; após o envio, a página exibe uma mensagem genérica de indisponibilidade, sinalizando que a coleta de dados já ocorreu.
A ESET também identificou campanhas semelhantes, porém menos sofisticadas, que simulam páginas inspiradas em outras grandes empresas ou companhias aéreas para obter CPF e nome completo. Em muitos desses casos, a página recarrega após o envio das informações, sem apresentar mensagens adicionais.
Apesar da variação de qualidade técnica, as fraudes continuam eficazes devido à uso de marcas conhecidas e à confiança do usuário. As autoridades e especialistas recomendam redobrar a atenção ao acessar promoções de crédito divulgadas por redes sociais ou por aplicativos de mensagens e verificar a veracidade dos vínculos oferecidos antes de compartilhar dados sensíveis.
