Pós-Black Friday: quando o golpe começa depois da compra

Muito se fala dos golpes em compras na Black Friday, onde golpistas usam técnicas de phishing e engenharia social para fazer o internauta realizar transações falsas. Você sabia, no entanto, que há uma categoria de golpes realizados pós Black Friday, depois das compras já terem sido feitas?

• Black Friday segura: 7 dicas para não cair em golpes
• 5 tecnologias usadas pelos cibercriminosos para enganar na Black Friday

Fraudes especialmente sofisticadas são realizadas com sistemas de devolução, atendimentos automatizados e a boa fé de consumidores ansiosos com o recebimento das compras, levando não só à perda de dinheiro, mas também vazamento de dados, queda de reputação de lojas e exposição da cadeia de suprimentos digital.

Logística reversa e as devoluções

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Uma tendência das empresas de vendas é reforçar o sistema de checkout, garantindo que o processo de compra seja seguro. A logística reversa, no entanto, ou seja, sistema de rastreamento, portal de devolução e processo de reembolso acabam ficando vulneráveis: os criminosos sabem que essas ferramentas foram criadas para conveniência, com menos preocupação com a segurança.

Um exemplo foi a rede fraudulenta REKK, que operava via Telegram e Reddit recrutando funcionários de varejistas para marcar produtos como devolvidos nos sistemas internos sem a devolução física. O esquema foi desmantelado em 2024 após investigação da Amazon, mas não era o único: outro, o Chin Chopa, chegou a custar à empresa mais de R$ 5 milhões em golpes. 

Os perigos da menor proteção desses sistemas vão de APIs sem limitação de taxas, aprovações automáticas sem análise de risco e fluxos de reembolso que processam milhares de requisições por hora sem validar a identidade. Dessa maneira, sequer é preciso hackear o sistema para conseguir fraudar as empresas.

O Mapa da Fraude 2025 da Serase Experian revelou que, no ano passado, 17,8 mil tentativas de fraude foram registradas apenas até o meio-dia do sábado pós-Black Friday, somando R$ 27,6 milhões em golpes bloqueados. A janela de cibercrime continua aberta dias após o grande evento de ofertas.

As fraudes pós-compra

Há vários tipos de golpe envolvendo o processo de devolução ou reembolso de produtos, indo dos físicos aos digitais: eles se aproveitam de estornos do pagamento, automação de processos e engenharia social pós-compra.

Nos mais clássicos, os criminosos enviam falsos e-mails ou SMSs dizendo que a encomenda está retida ou possui taxa de liberação pendente: o cliente paga ou envia seus dados e cai no golpe. Em outros casos, a mensagem fala sobre reembolso de frete pago a mais, mas o link para “cadastro do reembolso” instala malwares de acesso remoto no celular.

Outros golpes, mais complexos, envolvem o uso de dados roubados para comprar produtos pelos golpistas, alegando não recebimento ou defeito, pressionando lojistas para realizar o reembolso ou alegando devolução com códigos de rastreamento falsos.

Em versões mais audaciosas, apenas a caixa é devolvida, com objetos como pedras imitando o peso original, ou adulterando o número serial de um produto defeituoso para devolvê-lo e ficar com o funcional.

Há, ainda, outros que envolvem phishing, invadindo a conta de vítimas, realizando compras com dados salvos e solicitando devolução para a conta do golpista, por exemplo.

Podem, também, ser roubadas credenciais vazadas de sites de phishing da Black Friday, usadas para empréstimos e afins. Sistemas de aprovação automática de devolução também podem ser sobrecarregados com bots, recebendo centenas de aprovações falsas por race conditions.

Como se proteger?

Segundo a RedBelt Security, em análise apoiada pelo seu laboratório de inteligência INGENI, para fugir de golpes, é necessário ficar atento para mensagens que pedem urgência extrema, como exclusão de conta ou consequências em poucas horas ou dias, solicitações de dados sensíveis, comunicações por canais não oficiais, ofertas boas demais para serem verdade e erros sutis nas URLs.

Também nunca clique em links sobre pedidos recebidos por e-mail, SMS ou WhatsApp, preferindo acessar o site ou portal oficial da loja em busca de notificações sobre supostos problemas na compra. Lembre-se de que os correios e transportadoras nunca cobram taxas extras por mensagem e nenhuma empresa pede senha, códigos ou números de cartão por canais externos.

Convém ainda configurar limite diário para Pix durante períodos de compras, como R$ 500, e ativar alertas para todas as transações bancárias, inclusive estornos. Autenticação de dois ou mais fatores também é uma grande aliada contra invasões, assim como a execução de qualquer atividade como pedido de devolução ou reembolso pelo portal oficial da loja onde você comprou.

Veja mais:

• O que é um ataque DDoS? Entenda técnica usada contra deputados do PL Antiaborto
• Malware para Android mira apps bancários e permite fraudes em tempo real
• Evil twin: Hacker pega 7 anos de cadeia por criar Wi-Fi falso em voos

VÍDEO | 🚨 BLACK FRIDAY LOADING... 🚨 Quer um celular novo? Fica de olho nessas 3 sugestões

Fonte: RedBelt Security