Golpes, Inteligência de Ameaças

Golpe de reembolso se passa pela Avast para obter dados de cartões de crédito

por Stefan Dasic | 24 de fevereiro de 2026
Site falso de phishing do Avast

Um site fraudulento com a marca Avast está enganando usuários francófonos para que forneçam todos os detalhes de seus cartões de crédito — número do cartão, data de validade e código de segurança de três dígitos — sob o pretexto de processar um reembolso de € 499,99 que nunca lhes foi devido.

A operação combina “suporte” por chat ao vivo, um valor de transação alarmante codificado e uma réplica convincente da identidade visual da Avast para criar urgência e coletar dados de pagamento em grande escala.

“Hoje foi cobrado €499,99 da sua conta.”

A página de phishing abre com o que parece ser um portal legítimo da Avast. O logotipo da Avast é carregado diretamente da rede de entrega de conteúdo da própria Avast — um toque deliberado que garante que o escudo laranja e branco seja renderizado perfeitamente e passe por uma verificação visual casual. O cabeçalho da página oferece links para “Página inicial”, “Minha conta” e “Ajuda”, todos com estilo compatível com a interface real da Avast.

Abaixo do cabeçalho, uma caixa de aviso na cor laranja característica do Avast chama a atenção: os pedidos de cancelamento devem ser apresentados dentro de 72 horas, diz ela. Em seguida, na mesma frase, avisa que transações com mais de 48 horas “não podem mais ser canceladas”. É fácil não perceber essa contradição interna quando sua atenção está voltada para a afirmação mais importante logo abaixo.

Essa cobrança é um registro de transação com a data de hoje e um débito de -€499,99. A data não é codificada. Uma única linha de JavaScript lê o relógio do sistema local do visitante e grava a data atual na página no momento do carregamento. Sempre que uma vítima chega, seja numa terça-feira de fevereiro ou numa sexta-feira de agosto, a cobrança parece ter ocorrido naquela mesma manhã.

O valor, no entanto, é fixo. Todos os visitantes veem exatamente -€499,99, uma quantia cuidadosamente escolhida para ser grande o suficiente para provocar uma ação imediata, mas não tão grande a ponto de comprometer a credibilidade de uma assinatura de software.

Não há nenhuma transação real. Nenhuma conta Avast foi acessada. O número existe apenas para fazer com que o visitante se sinta roubado.

O que o formulário solicita e para onde vão os dados

O formulário de cancelamento abaixo solicita o motivo do reembolso (um menu suspenso oferece as opções “Reembolso da Avast”, “Transação fraudulenta”, “Transação duplicada” e “Outro”), seguido por um conjunto completo de informações pessoais: nome, sobrenome, endereço de e-mail, número de telefone, endereço, cidade, região e código postal. O preenchimento desta seção é apresentado como uma verificação de identidade de rotina — necessária, segundo a página, antes que qualquer reembolso possa ser processado.

Depois que o formulário é enviado, aparece uma caixa de diálogo modal intitulada “Informações do cartão”. A página solicita o número do cartão de crédito da vítima, a data de validade e o código de segurança CVV, supostamente para que o reembolso possa ser creditado de volta ao método de pagamento original.

Informações do cartão
Site falso do Avast: solicitação das informações do cartão da vítima

Este é o momento para o qual a operação tem vindo a preparar-se.

A página implementa até mesmo a validação do algoritmo de Luhn (a verificação matemática que os bancos utilizam para verificar números de cartões), de modo que números de teste ou erros de digitação acidentais são rejeitados antes do envio. Somente números de cartões estruturalmente válidos são aceitos.

Quando o botão Confirmar é clicado, o navegador envia uma solicitação POST para send.php, um arquivo backend que recebe toda a carga útil como um objeto JSON. Essa carga útil contém todos os campos preenchidos pela vítima: nome, endereço, detalhes de contato, número do cartão, data de validade e CVV.

Após o envio dos dados, a vítima é redirecionada para uma página de confirmação com a seguinte mensagem:

Sua inscrição está sendo processada — Obrigado pelo seu contato.

Abaixo dessa mensagem tranquilizadora, há um botão com a inscrição “Desinstalar o Avast”. Um último empurrãozinho de engenharia social incentivando a vítima a remover o próprio software de segurança que, de outra forma, poderia alertá-la sobre o que acabou de acontecer.

Sua inscrição está sendo processada.
Site falso do Avast: Sua solicitação está sendo processada

Por que há um chat ao vivo em uma página de phishing?

O que diferencia esta campanha de muitas páginas de phishing é a presença de um widget de chat ao vivo em tempo real incorporado no canto inferior direito da tela. O widget é fornecido pela Tawk.to, uma plataforma legítima de suporte ao cliente, e possui o identificador de conta 689773de2f0f7c192611b3bf com o código do widget 1j27pp82q.

Isso significa que alguém (quase certamente os operadores do site de phishing) pode ver quando um visitante está na página e interagir com ele em uma conversa ao vivo.

O valor tático é significativo. Um visitante confuso que percebe a incompatibilidade de tempo (“72 horas” contra “48 horas”) ou que hesita antes de inserir os dados do cartão pode ser incentivado por um “agente de suporte” que oferece tranquilidade em tempo real.

Transforma uma página de phishing estática em uma operação fraudulenta interativa.

Para quem esta página foi concebida?

O que torna esta página excepcionalmente eficaz é o fato de não precisar visar um tipo específico de pessoa. Ela foi criada para atrair quatro tipos totalmente diferentes de visitantes com o mesmo formulário, cada um com um motivo diferente para preenchê-lo.

  • O cliente Avast: alguém que comprou uma licença, não quis renová-la e vê esta página como uma forma legítima de contestar a cobrança. A relação existente com a marca faz com que a interface pareça familiar.
  • O assinante esquecido: eles têm uma conta Avast, mas não se lembram de ter se inscrito. Talvez tenha sido há anos ou junto com outro produto. Eles veem -€499,99, concluem que estão sendo cobrados indevidamente e nunca pensam em fazer login em uma conta da qual mal se lembram.
  • O não cliente alarmado: nunca usou o Avast. Ele vê a cobrança e presume que os dados do seu cartão foram roubados e usados sem o seu conhecimento. Ele chega já convencido de que foi vítima de um crime, com pressa e pronto para confiar em qualquer processo com aparência oficial que se ofereça para resolver o problema. Esse é o perfil mais perigoso, pois o prazo de 72 horas não é apenas um detalhe para ele, mas sim um prazo final.
  • O oportunista: alguém que sabe que não foi cobrado, mas acredita ter encontrado 499,99 euros à espera de serem reclamados. Tenta recolher dinheiro que nunca foi seu, apenas para perder os dados do seu cartão no processo.

A página nunca precisa distinguir entre esses visitantes. Ela não faz perguntas que revelariam a qual perfil uma pessoa pertence. Não é necessário fazer login na conta, inserir chave de licença ou comprovar a compra. Basta um pagamento, um formulário e um campo para o cartão.

Como saber se uma página de reembolso é uma fraude

Golpes de reembolso como esse não se limitam à Avast. Qualquer marca pode ser falsificada. Aqui estão os sinais de alerta a serem observados:

  • Uma cobrança que você não reconhece e que aparece “hoje”: os golpistas costumam inserir a data atual automaticamente para fazer com que a transação pareça urgente e real.
  • windows de cancelamento urgente: mensagens alegando que você tem tempo limitado para agir são criadas para pressioná-lo a agir rapidamente.
  • Solicitações de dados completos do cartão de crédito para “processar” um reembolso: reembolsos legítimos não exigem que você insira novamente o número completo do cartão e o CVV em uma página aleatória.
  • Não é necessário fazer login, fornecer chave de licença ou comprovante de compra: empresas reais verificam sua conta. Páginas fraudulentas ignoram a verificação e vão direto para os detalhes de pagamento.
  • Chat ao vivo incentivando você a concluir o processo: o apoio em tempo real de um “agente de suporte” pode ser parte do golpe, e não uma prova de que o site é legítimo.
  • Instruções para desinstalar seu software de segurança: Nenhum processo de reembolso genuíno exigirá que você remova sua proteção.
  • Domínios semelhantes: nomes de sites ligeiramente alterados são um grande sinal de alerta. Digite sempre o endereço oficial do site da empresa diretamente no seu navegador, em vez de clicar em links.

Se você perceber pelo menos um desses sinais, pare imediatamente. Não insira informações pessoais ou financeiras em uma página acessada por meio de uma mensagem não solicitada ou um link suspeito.

O que fazer se você inseriu seus dados

Se você enviou os dados do seu cartão:

  • Entre em contato com seu banco ou emissor do cartão imediatamente e cancele o cartão.
  • Conteste quaisquer cobranças não autorizadas
  • Não espere que a fraude apareça — os dados de cartões roubados são frequentemente utilizados rapidamente.
  • Altere as senhas das contas vinculadas ao endereço de e-mail que você forneceu.
  • Execute uma verificação completa com um produto de segurança confiável.

Outras maneiras de se manter seguro:

  • Mantenha seu dispositivo e software atualizados
  • Use proteção antimalware ativa com proteção da web ativada
  • Se você não tiver certeza se algo é uma fraude, Malwarebytes podem enviar mensagens suspeitas ao Scam Guard para análise.

Não nos limitamos a informar sobre fraudes - ajudamos a detectá-las

Os riscos de segurança cibernética nunca devem ir além de uma manchete. Se algo parecer suspeito para você, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de tela, cole o conteúdo suspeito ou compartilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

IA
Logotipo da OpenClaw

OpenClaw: O que é e você pode usá-lo com segurança?

Fevereiro 23, 2026

O OpenClaw é um tema muito em voga atualmente. Mas o que é e como você pode usar o assistente de IA 24 horas por dia, 7 dias por semana, de maneira segura?

Notícias
lembrar senhas

Os gerenciadores de senhas mantêm suas senhas seguras, a menos que...

Fevereiro 23, 2026

Pesquisadores investigaram as alegações de conhecimento zero dos gerenciadores de senhas e encontraram alguns cenários possíveis de ataque.

Notícias
semana em segurança

Uma semana em segurança (16 a 22 de fevereiro)

Fevereiro 23, 2026

Lista de tópicos abordados na semana de 16 a 22 de fevereiro de 2026

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes