Golpe do Tribunal de Justiça engana brasileiros com CPFs vazados para roubar Pix

Uma nova campanha de phishing ameaça a paz de brasileiros: cibercriminosos estão usando um banco de dados com CPFs vazados para roubar dinheiro via Pix.

• Como saber se o seu CPF foi vazado online?
• Mercado de dados: o que acontece com seu CPF depois que ele vaza?

O esquema consiste no envio de mensagens SMS como se a Justiça Federal do país estivesse entrando em contato com o cidadão para alertá-lo acerca de irregularidades no CPF. O aviso traz um tom de urgência ao afirmar que os bens e a conta bancária da pessoa serão bloqueados, caso as devidas providências não sejam tomadas.

Como incidentes tradicionais de phishing, o ataque consiste no uso de engenharia social para fazer com que o indivíduo clique em um link, geralmente indicado como “hxxps://pagamento-seguro.pro”, para supostamente resolver o problema.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Uma vez que ele faz isso, uma página que imita o site oficial do Poder Judiciário surge na tela, iniciando o processo de coleta de informações sensíveis.

Falso processo judicial

Apoiando-se em um banco de dados hospedado em Nova Jersey, nos EUA, a operação induz o usuário a inserir seu CPF no site que finge ser a página oficial do Tribunal de Justiça. O sistema, então, verifica o CPF digitado, retornando com dados sensíveis da pessoa, como nome completo e data de nascimento.

Como as informações aparecem corretamente na página, a vítima acredita que está diante de uma cobrança real para retomar a regularidade de seu CPF. O site ainda mostra o número de um processo judicial falso para dar uma maior credibilidade ao golpe, que pede para que o cidadão pague uma multa de mais de R$ 800.

Há também um temporizador de 10 minutos para que a pessoa finalize o pagamento via Pix, o que acaba criando a armadilha perfeita para manter a credibilidade da ação enquanto implementa um senso de urgência na vítima.

Tentativa de não ser detectado

Para tentar passar despercebido por sistemas de segurança e análises de especialistas, os criminosos dividiram o processamento dos pagamentos de duas maneiras: um pelo FusionPay, que direciona as transações para uma empresa em Brasília, e outro pelo FusionPayBR/7Trust, que vai para Goiânia. A medida foi tomada para dificultar o rastreamento do dinheiro e garantir que, caso uma conta seja bloqueada, a outra ainda continue operando sem grandes problemas.

No entanto, a estratégia acabou sendo exposta porque os hackers deixaram logs do servidor acessíveis em público, abrindo espaço para que os especialistas detectassem essas operações fraudulentas em tempo real. Os pesquisadores também obtiveram acesso aos registros completos das transferências bancárias e chaves de API.

Leia também:

• Como saber se meus dados foram roubados? Veja 3 ferramentas que podem te ajudar
• Ministério de Minas e Energia foi atacado por campanha de espionagem global
• O stalker foi stalkeado: vazamento expõe dados de quem usava apps espiões