Seu pacote está atrasado? Cuidado! O golpe do rastreio falso via SMS está de volta, mais agressivo e com uma infraestrutura de ataque que faria qualquer engenheiro de rede suar.

Pesquisadores da Group-IB identificaram um salto brutal nas campanhas de phishing que exploram a ansiedade de quem espera uma encomenda. Em 2025, foram mais de 100 ataques únicos por mês, com picos alarmantes em junho e dezembro.

O Motor do Golpe: Como o Phishing SMS Engana e Drena Seu Bolso

Esqueça o papo de "entrega atrasada". O que temos aqui é um bottleneck digital, onde a pressa do consumidor em rastrear sua encomenda vira a porta de entrada para um roubo de dados em larga escala. A Group-IB, que não brinca em serviço quando o assunto é inteligência de ameaças, ligou o alerta vermelho: o golpe do rastreio falso explodiu em 2025.

Estamos falando de um volume absurdo de 161 bilhões de pacotes movimentados anualmente no e-commerce global, e os golpistas sabem disso. Eles exploram essa massa de dados para disparar mensagens de texto que imitam transportadoras famosas, avisando sobre um "problema" na entrega.

O SMS vem com um link, um atalho para o inferno digital, pedindo para "atualizar o endereço" ou "pagar uma taxa". Ao clicar, a vítima é jogada em um site falso, uma cópia quase perfeita da página original da transportadora. É ali que o usuário, na pressa, entrega de bandeja seus dados pessoais e financeiros.

A engenharia social por trás disso é digna de nota, ainda que nefasta. Os criminosos usam dois métodos para entregar a isca: números anônimos com prefixos locais, para dar um ar de legitimidade, ou a falsificação de remetente, fazendo o SMS parecer vir de uma empresa que você já conhece. É um ataque direto à confiança do usuário.

Ataques no Brasil: Onde a Engenharia Social Atingiu o Nível Hardcore

No segundo semestre de 2025, o Brasil foi palco de campanhas que mostram a sofisticação desses ataques. Uma delas mirou usuários da Total Express, parceira da Amazon, com mensagens fraudulentas pedindo pagamentos para liberar encomendas.

O mais assustador? Os comunicados incluíam dados sensíveis como CPF, e-mail, nome completo, endereço de entrega e, pasmem, um código de rastreio real. Os golpistas agiam com uma velocidade impressionante, disparando as mensagens menos de um dia após a movimentação do produto, alegando que a Receita Federal havia tributado as compras.

Outra campanha se passava pela J&T Express, outra gigante da logística. As mensagens afirmavam que as encomendas estavam "retidas na base operacional" por "questões documentais". Novamente, os detalhes eram precisos: conteúdo da entrega, nome e endereço completos da vítima.

O link levava a um pagamento de "taxa" para liberar a entrega. E para elevar o nível de credibilidade, as contas de WhatsApp usadas pelos criminosos eram verificadas, ostentando o logo e a identidade visual das empresas. Isso não é amadorismo; é uma operação bem azeitada.

Darcula: A Plataforma Clandestina que Turbina o Roubo de Dados e Como Blindar Seu Sistema

Se em 2024 esse tipo de golpe mal aparecia no radar, 2025 foi o ano em que o motor pegou fogo. A Group-IB documentou mais de 100 campanhas únicas por mês, com picos de 218 em junho e 208 em dezembro. Isso não é um pico; é uma curva de crescimento exponencial que mostra a escalabilidade da ameaça.

Os domínios usados para hospedar essas páginas falsas são um show à parte. Muitos imitam marcas reais, mas com extensões baratas e pouco regulamentadas, como .xyz, .shop, .click e .top. Outros abusam do tradicional .com, criando variações visuais que enganam até o olho mais treinado.

Por Trás do Código: A Infraestrutura do Darcula

A cereja do bolo técnico é a infraestrutura compartilhada por muitas dessas campanhas. Pesquisadores identificaram características que apontam para o Darcula, uma plataforma de phishing-as-a-service de origem chinesa que surgiu em 2023. Pense nisso como um kit de ferramentas completo para golpistas, vendido no mercado negro digital.

O Darcula não é para amadores. Ele oferece mais de 20 mil domínios falsos e mais de 200 modelos de páginas, capazes de imitar governos, companhias aéreas, serviços postais e bancos. Essa versatilidade permitiu que ele fosse usado em ataques em mais de 100 países, mostrando sua capacidade de adaptação e alcance global.

Originalmente comercializado via Telegram, o Darcula teve seus canais públicos removidos após ser exposto pela empresa de segurança Mnemonic. Contudo, o relatório da Group-IB de 13 de março confirmou o que já esperávamos: a plataforma continua ativa em canais clandestinos, operando nas sombras, como um motor de alto desempenho que não desliga.

Blindagem Digital: Como Proteger Seu Hardware e Seus Dados

Para nós, usuários finais, a regra é clara e inegociável: NUNCA clique em links recebidos por SMS. Se você está esperando uma encomenda e recebe uma notificação suspeita, vá direto ao site oficial da transportadora. Digite o endereço manualmente no navegador. Não confie em atalhos.

Para as empresas, a responsabilidade é ainda maior. A Group-IB sugere um arsenal de medidas para proteger suas marcas e, consequentemente, seus clientes. É fundamental publicar alertas regulares sobre golpes que abusam de suas identidades visuais e nomes.

No front técnico, a implementação de protocolos de autenticação de e-mail como DMARC, DKIM e SPF é crucial. Eles agem como um firewall para suas comunicações, reduzindo drasticamente o risco de mensagens fraudulentas serem enviadas em nome da sua empresa. É o controle de qualidade do seu tráfego de e-mail.

Além disso, oferecer uma ferramenta pública de verificação de códigos de rastreio e manter um canal claro para denúncias de fraudes, como um e-mail específico, são passos essenciais. E, por fim, trabalhar em conjunto com as operadoras de telefonia para filtrar padrões de SMS suspeitos pode impedir que essas mensagens maliciosas sequer cheguem ao consumidor. É uma defesa em camadas, como um bom sistema de refrigeração para um processador em full load.

O golpe do rastreio falso por SMS continua sendo uma ameaça persistente, exigindo vigilância constante de usuários e empresas.