Um novo tipo de fraude on-line combinando técnicas de phishing, e-commerce de fachada e pagamento de boletos falsos foi descoberto recentemente pela Receita Federal (RFB). Segundo o órgão público, criminosos criavam uma página que simulava leilões das mercadorias apreendidas para aplicar golpes em consumidores desavisados, que pagavam por itens que jamais poderiam retirar.
A Receita não divulgou o endereço do site falso que realizava os leilões, mas informou que a página utilizava até o próprio logotipo da secretaria – apesar de ter um layout completamente diferente da página oficial (muito semelhante a uma loja virtual, na verdade).
Nesta página falsa, criminosos criavam anúncios de produtos que foram apreendidos pela Receita e permitiam que os consumidores se cadastrassem (mediante informação de RG, CPF, e-mail e um comprovante de endereço) para dar lances nos produtos que desejassem. Quando um cliente “sortudo” desse o lance vencedor, recebia um boleto por e-mail e, após o pagamento do título, era orientado a retirar o produto em uma unidade da Receita – só lá que ele se daria conta de que havia caído em um golpe e que não havia mercadoria a ser retirada.
Só em 2018, a Receita Federal apreendeu mais de R$ 3,16 bilhões em mercadorias contrabandeadas – cigarros, brinquedos, eletroeletrônicos, vestuários e até veículos foram os principais itens confiscados pelo órgão público. Estes produtos são colocados à venda em leilões anunciados única e exclusivamente no site da Receita.
“A Receita esclarece que os leilões de mercadorias apreendidas pela instituição não são realizados em sites privados. O único canal disponível é o Sistema de Leilões Eletrônicos, acessado por meio do site da Receita Federal. O sistema está disponível no Centro Virtual de Atendimento ao Contribuinte (e-CAC). Para participar de leilões eletrônicos da instituição, é necessário ter certificado digital”, informa a secretaria, em comunicado reproduzido pela Agência Brasil.
A engenhosidade do golpe
Ok, agora que já contamos a notícia, vamos fazer a análise da Konduto sobre este crime cibernético.
Trata-se de um golpe em várias frentes, a começar pelo estelionato claro pela venda fraudulenta da mercadoria em nome da Receita.
Mas um outro detalhe chama a atenção: os criminosos ainda se utilizaram de técnicas de phishing ao solicitar algumas informações para as vítimas que desejavam fazer os lances nos falsos leilões. O cadastro provavelmente tinha o objetivo de criar um banco de dados com informações relevantes das vítimas – como nome, CPF e um comprovante de residência.
COMPROVANTE-DE-RESIDÊNCIA… para uma compra on-line em pleno 2019!
Ah, e o boleto…
Ao longo de 2018 batemos muito na tecla de que acreditar que o boleto bancário é a forma de pagamento mais segura da internet é um erro enorme. Por isso, antes de prosseguir, vamos só reforçar este recado:
Capisce?
Se você é especialista em meios de pagamento, sabe que é muito mais fácil para um site de fachada aceitar pagamentos por boleto do que por cartão de crédito. Hoje em dia, é possível gerar títulos que não são necessariamente “falsos”, mas podem direcionar a transferência de dinheiro para outras contas bancárias ou para carteiras digitais.
Tudo bem, no caso deste golpe especificamente, seria bem estranho pagar um leilão na Receita Federal com cartão em uma compra on-line, mas fato é que o boleto ainda abre essa margem para golpes, né?
Driblando os boletos falsos
No ano passado, o portal TechTudo publicou uma reportagem super bacana com dicas da Konduto ensinando como identificar um boleto fraudulento. Mas não custa nada já adiantar por aqui alguns dos principais toques que podemos dar, não é?
Neste caso específico dos falsos leilões da Receita, a dica principal seria não confiar piamente em boletos enviados por e-mail (ou qualquer outra fonte, como SMS, WhatsApp e afins). O recomendável é que você emita o título ou gere o código numérico de pagamento no site da loja (ou, neste caso, da RFB).
Outro ponto a ser levado em consideração, mas não menos importante, é conferir os dados do beneficiário do boleto. Por se tratar da Receita Federal, seria no mínimo estranho se as informações de quem receberia o pagamento daquele boleto fosse de uma pessoa física ou envolvesse alguma conta em bancos privados – e não estatais, concorda?