Tudo começou com um e-mail que parecia entediante e familiar: logótipo da Apple, layout simples e um assunto projetado para causar um frio na barriga do destinatário.
A mensagem alegava que a Apple havia bloqueado uma transação de alto valor no Apple Pay numa loja Apple Store, acompanhada de um número de identificação do caso, data e hora e um aviso de que a conta poderia estar em risco se o destinatário não respondesse.
Em alguns casos, havia até mesmo uma «consulta» marcada em nome deles para «analisar atividades fraudulentas», além de um número de telefone para o qual deveriam ligar imediatamente caso o horário não fosse conveniente. Nada no e-mail denota amadorismo. O nome exibido parece ser Apple, a formatação é muito semelhante à de recibos reais e a linguagem aciona todos os gatilhos de ansiedade certos.
É assim que a maioria dos utilizadores é atraída por uma recente campanha de phishing do Apple Pay.
A chamada que parece um apoio real
O e-mail alerta os destinatários para não utilizarem o Apple Pay até falarem com o «Serviço de Faturação e Prevenção de Fraudes da Apple» e fornece um número de telefone para ligar.
Após discar o número, um agente apresenta-se como parte do departamento de fraudes da Apple e solicita detalhes como códigos de verificação da Apple ID ou informações de pagamento.
A conversa é cuidadosamente preparada para estabelecer confiança. O agente explica que criminosos tentaram usar o Apple Pay numa loja física da Apple e que o sistema «bloqueou parcialmente» a transação. Para «proteger totalmente» a conta, diz ele, alguns detalhes precisam ser verificados.
A chamada começa com verificações que parecem inofensivas: o seu nome, os últimos quatro dígitos do seu número de telefone, quais dispositivos Apple você possui e assim por diante.
Em seguida, surge um pedido para confirmar o endereço de e-mail da Apple ID. Enquanto a vítima procura o endereço, um código de verificação da Apple ID com aparência real chega por mensagem de texto.
O agente solicita esse código, alegando que ele é necessário para confirmar que está a falar com o proprietário legítimo da conta. Na realidade, o burlão está a aceder à conta em tempo real e a usar o código para contornar a autenticação de dois fatores.
Assim que a conta é «confirmada», o agente orienta a vítima a verificar os seus cartões bancários e Apple Pay. Faz perguntas sobre contas bancárias e sugere «proteger temporariamente» os métodos de pagamento para que os criminosos não possam explorá-los enquanto a «equipa da Apple» investiga.
Todo o processo de suporte é projetado para roubar códigos de login e dados de pagamento. Em grande escala, campanhas como essa funcionam porque a marca Apple inspira enorme confiança, o Apple Pay envolve dinheiro real e os utilizadores foram treinados para tratar alertas de fraude como urgentes e cooperar com o «suporte» quando estão assustados.
Um exemplo enviado ao Malwarebytes Guard mostrava um e-mail alegando a compra de um cartão-presente da Apple no valor de US$ 279,99 e solicitando ao destinatário que ligasse para um número de suporte (1-812-955-6285).
Outro utilizador enviou uma captura de ecrã mostrando uma «Fatura de Recebimento – Paga» falsa, com o estilo de um recibo da Apple Store para um portátil MacBook Air 13 polegadas de 2025 com chip M4 ao preço de US$ 1.157,07 e um número de telefone (1-805-476-8382) para ligar sobre essa «transação não autorizada».
O que deve saber
A Apple não marca consultas fraudulentas por e-mail. A empresa também não pede aos utilizadores para resolver problemas de faturação ligando para números em mensagens não solicitadas.
Inspecione cuidadosamente o endereço do remetente. Nesses casos, o e-mail não vem de um domínio oficial da Apple, mesmo que o nome exibido pareça legítimo.
Nunca partilhe códigos de autenticação de dois fatores (2FA), códigos SMS ou palavras-passe com ninguém, mesmo que afirmem ser da Apple.
Ignore mensagens não solicitadas que o incentivem a tomar medidas imediatas. Sempre pense e verifique antes de agir. Converse com alguém em quem confia se não tiver certeza.
Malwarebytes Scam Guard ajudou vários utilizadores a identificar este tipo de fraude. Para aqueles que não têm uma subscrição, é possível usar o Scam Guard no ChatGPT.
Se já interagiu com esses golpistas do Apple Pay, é importante:
- Altere a palavra-passe da Apple ID imediatamente nas Definições ou em appleid.apple.com, e não a partir de qualquer link fornecido por e-mail ou SMS.
- Verifique as sessões ativas, saia de todos os dispositivos e, em seguida, volte a entrar apenas nos dispositivos que reconhece e controla.
- Altere novamente a sua palavra-passe da Apple ID se vir novos alertas de início de sessão e confirme se a autenticação de dois fatores (2FA) ainda está ativada. Caso contrário, ative-a.
- Na Wallet, verifique todos os cartões em busca de transações desconhecidas do Apple Pay e cobranças recentes em lojas físicas ou online. Monitore atentamente os extratos bancários e de cartão de crédito nas próximas semanas e conteste imediatamente quaisquer transações desconhecidas.
- Verifique se a conta de e-mail principal associada ao seu ID Apple é sua, pois o controlo dessa conta pode ser usado para assumir o controlo de outras contas.
Não nos limitamos a informar sobre as burlas - ajudamos a detectá-las
Os riscos de cibersegurança nunca devem ir além de uma manchete. Se algo lhe parecer suspeito, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de ecrã, cole o conteúdo suspeito ou partilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.
