Golpes, Inteligência de Ameaças

Golpe de reembolso se faz passar pela Avast para obter dados de cartões de crédito

por Stefan Dasic | 24 de fevereiro de 2026
Site falso de phishing do Avast

Um site fraudulento com a marca Avast está a enganar utilizadores francófonos para que forneçam os dados completos dos seus cartões de crédito — número do cartão, data de validade e código de segurança de três dígitos — sob o pretexto de processar um reembolso de € 499,99 que nunca lhes foi devido.

A operação combina «suporte» por chat ao vivo, um valor de transação alarmante codificado e uma réplica convincente da identidade visual da Avast para criar urgência e coletar dados de pagamento em grande escala.

«Hoje foi cobrado 499,99 € na sua conta.»

A página de phishing abre com o que parece ser um portal web legítimo da Avast. O logótipo da Avast é carregado diretamente da rede de entrega de conteúdo da própria Avast — um toque deliberado que garante que o escudo laranja e branco seja renderizado perfeitamente e passe por uma verificação visual casual. O cabeçalho da página oferece links para «Página inicial», «Minha conta» e «Ajuda», todos com estilo compatível com a interface real da Avast.

Abaixo do cabeçalho, uma caixa de aviso na cor laranja característica do Avast chama a atenção: os pedidos de cancelamento devem ser apresentados dentro de 72 horas, diz ela. Em seguida, na mesma frase, avisa que transações com mais de 48 horas «não podem mais ser canceladas». A contradição interna é fácil de passar despercebida quando a sua atenção está fixada na afirmação mais importante logo abaixo dela.

Essa cobrança é um registo de transação com a data de hoje e um débito de -€499,99. A data não é fixa. Uma única linha de JavaScript lê o relógio do sistema local do visitante e insere a data atual na página no momento do carregamento. Sempre que uma vítima acessa o site, seja numa terça-feira de fevereiro ou numa sexta-feira de agosto, a cobrança parece ter ocorrido naquela mesma manhã.

O valor, no entanto, é fixo. Todos os visitantes veem exatamente -€499,99, uma quantia cuidadosamente escolhida para ser grande o suficiente para provocar uma ação imediata, mas não tão grande a ponto de comprometer a credibilidade de uma assinatura de software.

Não há nenhuma transação real. Nenhuma conta Avast foi acessada. O número existe apenas para fazer com que o visitante se sinta roubado.

O que o formulário solicita e para onde os dados são enviados

O formulário de cancelamento abaixo solicita o motivo do reembolso (um menu suspenso oferece as opções «Reembolso da Avast», «Transação fraudulenta», «Transação duplicada» e «Outro»), seguido de um conjunto completo de informações pessoais: nome, apelido, endereço de e-mail, número de telefone, endereço, cidade, região e código postal. O preenchimento desta secção é apresentado como uma verificação de identidade de rotina — necessária, segundo a página, antes que qualquer reembolso possa ser processado.

Depois de enviar o formulário, aparece uma caixa de diálogo modal intitulada «Informações do cartão». A página solicita o número do cartão de crédito da vítima, a data de validade e o código de segurança CVV, supostamente para que o reembolso possa ser creditado no método de pagamento original.

Informações do cartão
Site falso da Avast: solicitação das informações do cartão da vítima

Este é o momento para o qual a operação tem vindo a preparar-se.

A página implementa até mesmo a validação do algoritmo de Luhn (a verificação matemática que os bancos utilizam para verificar números de cartões), de modo que números de teste ou erros de digitação acidentais são rejeitados antes do envio. Apenas números de cartões estruturalmente válidos são aceitos.

Quando o botão Confirmar é clicado, o navegador envia uma solicitação POST para send.php, um ficheiro backend que recebe toda a carga útil como um objeto JSON. Essa carga útil contém todos os campos preenchidos pela vítima: nome, endereço, detalhes de contacto, número do cartão, data de validade e CVV.

Após o envio dos dados, a vítima é redirecionada para uma página de confirmação com a seguinte mensagem:

«A sua candidatura está a ser processada — Obrigado pelo seu contacto.»

Abaixo dessa mensagem tranquilizadora, há um botão com a indicação «Desinstalar o Avast». Um último empurrãozinho de engenharia social para incentivar a vítima a remover o próprio software de segurança que, de outra forma, poderia alertá-la sobre o que acabou de acontecer.

A sua candidatura está a ser processada.
Site falso do Avast: A sua candidatura está a ser processada

Por que há um chat ao vivo numa página de phishing?

O que diferencia esta campanha de muitas páginas de phishing é a presença de um widget de chat ao vivo em tempo real incorporado no canto inferior direito do ecrã. O widget é fornecido pela Tawk.to, uma plataforma legítima de suporte ao cliente, e possui o identificador de conta 689773de2f0f7c192611b3bf com o código de widget 1j27pp82q.

Isso significa que alguém (quase certamente os operadores do site de phishing) pode ver quando um visitante está na página e interagir com ele em uma conversa ao vivo.

O valor tático é significativo. Um visitante confuso que percebe a incompatibilidade de tempo («72 horas» vs «48 horas») ou que hesita antes de inserir os dados do cartão pode ser incentivado por um «agente de suporte» que oferece tranquilidade em tempo real.

Transforma uma página de phishing estática numa operação fraudulenta interativa.

A quem se destina esta página?

O que torna esta página excepcionalmente eficaz é o facto de não precisar de se dirigir a um tipo específico de pessoa. Ela foi criada para atrair quatro tipos de visitantes totalmente diferentes com o mesmo formulário, cada um com um motivo diferente para preenchê-lo.

  • O cliente Avast: alguém que comprou uma licença, não quis renovar e vê esta página como uma forma legítima de contestar a cobrança. A sua relação existente com a marca faz com que a interface pareça familiar.
  • O assinante esquecido: eles têm uma conta Avast, mas não se lembram de ter se inscrito. Talvez tenha sido há anos ou junto com outro produto. Eles veem -€499,99, concluem que estão a ser cobrados indevidamente e nunca pensam em fazer login numa conta da qual mal se lembram.
  • O não cliente alarmado: nunca usou o Avast. Vê a cobrança e presume que os dados do seu cartão foram roubados e usados sem o seu conhecimento. Chega já convencido de que foi vítima de um crime, com pressa e pronto para confiar em qualquer processo com aparência oficial que se ofereça para resolver o problema. Este é o perfil mais perigoso, pois o prazo de 72 horas não é apenas um detalhe para ele, mas sim um prazo final.
  • O oportunista: alguém que sabe que não foi cobrado, mas acredita ter encontrado €499,99 à espera de ser reclamado. Tenta recolher dinheiro que nunca foi seu, apenas para perder os dados do seu próprio cartão no processo.

A página nunca precisa distinguir entre esses visitantes. Ela não faz perguntas que revelariam a qual perfil uma pessoa pertence. Não é necessário fazer login na conta, inserir chave de licença ou comprovar a compra. Basta um cartão de crédito, um formulário e um campo para o cartão.

Como saber se uma página de reembolso é uma fraude

Golpes de reembolso como este não se limitam à Avast. Qualquer marca pode ser falsificada. Aqui estão os sinais de alerta a serem observados:

  • Uma cobrança que não reconhece e que aparece «hoje»: os burlões costumam inserir a data atual automaticamente para fazer com que a transação pareça urgente e real.
  • windows de cancelamento urgente: mensagens alegando que você tem tempo limitado para agir são criadas para pressioná-lo a agir rapidamente.
  • Solicitações de dados completos do cartão de crédito para «processar» um reembolso: reembolsos legítimos não exigem que você insira novamente o número completo do cartão e o CVV em uma página aleatória.
  • Não é necessário fazer login, fornecer chave de licença ou comprovante de compra: empresas reais verificam a sua conta. Páginas fraudulentas ignoram a verificação e vão direto para os detalhes de pagamento.
  • Chat ao vivo a pressionar para concluir o processo: o apoio em tempo real de um «agente de suporte» pode fazer parte do esquema, não ser prova de que o site é legítimo.
  • Instruções para desinstalar o seu software de segurança: Nenhum processo de reembolso genuíno exigirá que remova a sua proteção.
  • Domínios semelhantes: nomes de sites ligeiramente alterados são um grande sinal de alerta. Digite sempre o site oficial da empresa diretamente no seu navegador, em vez de clicar em links.

Se detectar algum destes sinais, deve parar. Não insira informações pessoais ou financeiras numa página que tenha sido acedida através de uma mensagem não solicitada ou de um link suspeito.

O que fazer se inseriu os seus dados

Se enviou os dados do seu cartão:

  • Entre em contacto com o seu banco ou emissor do cartão imediatamente e cancele o cartão.
  • Conteste quaisquer cobranças não autorizadas
  • Não espere que a fraude apareça — os dados de cartões roubados são frequentemente utilizados rapidamente.
  • Altere as palavras-passe das contas associadas ao endereço de e-mail que forneceu.
  • Execute uma verificação completa com um produto de segurança confiável.

Outras formas de se manter seguro:

  • Mantenha o seu dispositivo e software atualizados
  • Use proteção antimalware ativa com proteção da Web ativada
  • Se não tiver a certeza se algo é uma fraude, Malwarebytes podem enviar mensagens suspeitas ao Scam Guard para análise.

Não nos limitamos a informar sobre as burlas - ajudamos a detectá-las

Os riscos de cibersegurança nunca devem ir além de uma manchete. Se algo lhe parecer suspeito, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de ecrã, cole o conteúdo suspeito ou partilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

IA
Logótipo OpenClaw

OpenClaw: O que é e pode ser usado com segurança?

fevereiro 23, 2026

O OpenClaw é um tema muito em voga atualmente. Mas o que é e como pode utilizar o assistente de IA 24 horas por dia, 7 dias por semana, de forma segura?

Notícias
lembrar senhas

Os gestores de palavras-passe mantêm as suas palavras-passe seguras, a menos que...

fevereiro 23, 2026

Os investigadores analisaram as alegações de conhecimento zero dos gestores de palavras-passe e descobriram alguns cenários de ataque possíveis.

Notícias
semana da segurança

Uma semana em segurança (16 a 22 de fevereiro)

fevereiro 23, 2026

Uma lista de tópicos que abordámos na semana de 16 a 22 de fevereiro de 2026

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes