Golpes, Inteligência de Ameaças

Descobrimos esta campanha de faturas falsas enquanto os burlões ainda a estavam a preparar

por Stefan Dasic | 3 de junho de 2026
Engenharia social
Adicionar como fonte preferencial no Google

Está a ser lançada neste momento uma nova série de faturas de pagamento falsas, e detetámos a campanha ainda enquanto estava a ser preparada. Os e-mails fazem-se passar PayPal Amazon, pela Geek Squad e por outras entidades, e todos têm um único objetivo: assustá-lo para que ligue para um número de telefone onde um falso «agente de apoio» o aguarda.

O que torna esta onda invulgar é o facto de alguns dos modelos que recuperámos ainda conterem campos em branco onde deveriam constar o número de telefone e o preço, enquanto outros já estavam preenchidos e em circulação. Apanhámos a campanha a meio da sua implementação.

Qual é o esquema?

Se receber um e-mail que pareça um recibo — «A sua assinatura foi renovada por 349 $», «Enviou um pagamento no valor de 598,96 $» — e que o incentive a ligar para um número para cancelar ou contestar a cobrança, pare.

Não há qualquer custo. O e-mail serve apenas para o colocar ao telefone com um burlão que, em seguida, tentará convencê-lo a conceder acesso remoto ao seu computador, a fornecer os dados do seu cartão ou a aceitar um «reembolso» que, de alguma forma, exige que lhe envie dinheiro.

Este tipo específico de fraude é conhecido como «fatura fantasma» ou «reembolso», e o truque é psicológico, não técnico. É por isso que estes e-mails conseguem, muitas vezes, passar pelos filtros de spam: na maioria das vezes, não há nenhum anexo ou link malicioso que os sistemas de segurança possam analisar. A fraude está no número de telefone para o qual o incentivam a ligar.

Se não foi você quem efetuou a compra, não é necessário ligar para o número indicado no e-mail para a cancelar. As empresas sérias não pressionam os clientes a resolver cobranças inesperadas através de números de telefone não solicitados.

O objetivo é simples: criar preocupação suficiente para que ligues. Vês uma cobrança significativa que não reconheces, digamos 499 dólares, e o teu primeiro instinto é impedir que seja cobrada. A fatura indica, de forma prestável, um número para ligar «caso não tenhas sido tu». Então, ligas e, nesse momento, estás a falar com o burlão.

A partir daí, a conversa costuma seguir um de vários caminhos. Podem pedir-lhe para instalar um software para que possam «corrigir» a cobrança, dando-lhes acesso ao seu computador. Podem pedir-lhe os dados do seu cartão ou da sua conta bancária para «processar o reembolso». Ou podem «acidentalmente» reembolsar um montante superior ao devido e pedir-lhe que devolva a diferença, geralmente através de um cartão-presente ou de uma transferência bancária.

A fatura é apenas o isco, enquanto o telefonema é a armadilha.

Estes e-mails são convincentes e alguns já estão a chegar às caixas de entrada. A boa notícia é que o simples facto de receber um não o coloca em risco. O esquema só funciona se conseguir que ligue para o número indicado. Se reconhecer a mensagem como fraudulenta e a apagar, o ataque fica por aí.

Se ligou para o número e seguiu as instruções de um burlão, execute uma verificação de vírus e verifique as suas contas bancárias. Altere as suas palavras-passe mais importantes, ative a autenticação multifator (MFA) e certifique-se de que o seu software de segurança está atualizado.

Como o encontrámos a meio da construção

A maioria das investigações de fraudes começa depois de o dano já ter sido causado. Esta foi diferente. Deparamo-nos com um conjunto de modelos de faturas quase idênticos que faziam claramente parte do mesmo kit, e vários deles estavam incompletos.

Enquanto um e-mail fraudulento bem elaborado apresentaria um número de telefone, alguns destes exibiam o texto literal #TFN# em vez disso, que é apenas um espaço reservado. («TFN» é a abreviatura usada pelos burlões para designar um número gratuito, a linha de retorno para a qual encaminham as vítimas.) Outros deixaram o preço como #PRICE#, a data como #DATE#, e o destinatário como #EMAIL#. Trata-se de campos de fusão — os espaços em branco que uma ferramenta de envio em massa preenche automaticamente antes do lançamento de uma campanha.

O facto de esses marcadores de lugar ainda estarem presentes indicou-nos que a operação ainda estava a ser preparada. Alguns modelos ainda estavam a meio, enquanto outros já estavam concluídos e continham números de contacto ativos. Apanhámos a campanha a meio do processo de implementação, entre a fase de criação e o lançamento total.

Por que é que estas faturas parecem credíveis

Os burlões utilizam marcas conhecidas, como PayPal, Amazon e a Geek Squad. São empresas das quais as pessoas esperam receber recibos e avisos de renovação, o que diminui a desconfiança.

Os valores cobrados também são cuidadosamente selecionados. Montantes na ordem das centenas de dólares são suficientemente elevados para suscitar preocupação, mas continuam a parecer plausíveis como renovação de uma assinatura ou compra online.

Muitas mensagens criam um sentido de urgência, exortando os destinatários a ligarem rapidamente para contestar ou cancelar a cobrança. Esta pressão tem como objetivo impedir que as pessoas verifiquem a transação por conta própria.

Algumas faturas chegam mesmo a combinar marcas de confiança, como alegar que um pagamento foi enviado através PayPal Amazon. A referência a várias empresas conhecidas faz com que a mensagem pareça mais credível.

Como identificar uma fatura falsa

A boa notícia é que estes esquemas fraudulentos apresentam sinais de alerta comuns. Assim que souber o que procurar, torna-se muito mais fácil identificá-los. Esteja atento a qualquer um destes sinais:

  • Uma cobrança de que não se lembra de ter efetuado. Se não reconhecer a cobrança, verifique-a por conta própria através da sua conta ou do seu banco. Se não houver qualquer registo da mesma, é provável que a fatura seja uma isca destinada a levá-lo a ligar.
  • Um relógio a contar os segundos. «Ligue dentro de 12 horas», «cancele antes da renovação» ou «aja imediatamente» criam uma falsa sensação de urgência destinada a impedir que reflita. Os verdadeiros problemas de faturação podem esperar enquanto verifica a situação.
  • Marcas em que confia, usadas como fachada. Quanto mais familiar for o logótipo, menos atenção as pessoas prestam ao texto. Os burlões aproveitam-se de uma confiança que não conquistaram.
  • Pequenos detalhes que não batem certo. Um PayPal «enviado» Amazon, um endereço estranho que não pertence a ninguém ou uma formulação um pouco estranha. Confie nos pequenos sinais que parecem errados.
  • Pressão para o manter ao telefone. Quando liga, uma empresa séria nunca o impediria de desligar para verificar, mas um burlão fá-lo-á.

Se pelo menos um destes elementos estiver presente, considere toda a mensagem como suspeita.

Lembre-se da única regra que desmascara todo este esquema: uma empresa séria nunca o pressionará a ligar para anular um pagamento que nunca efetuou. Se não tiver a certeza se uma cobrança é verdadeira, feche o e-mail e verifique a sua conta da forma habitual: digitando você mesmo o endereço do site da empresa no seu navegador ou ligando para o número que consta no verso do seu cartão bancário.

Dica de profissional: Malwarebytes Guard pode ajudar a identificar fraudes como estas e orientá-lo sobre o que fazer a seguir, enquanto Browser Guard impedirá que aceda a sites fraudulentos.

O que fazer se receberes uma mensagem destas na tua caixa de entrada

Se receber uma fatura suspeita como as descritas aqui, tome algumas precauções simples:

  • Não ligue para esse número. É aí que reside o cerne do esquema. Os reembolsos ou cancelamentos legítimos não exigem que ligue para um número indicado num recibo não solicitado.
  • Não responda nem clique em nada. Considere a mensagem suspeita, mesmo que pareça legítima.
  • Verifique os débitos por conta própria. Se suspeitar que um débito possa ser legítimo, inicie sessão diretamente no PayPal, no seu banco ou no site do comerciante, digitando o endereço manualmente e verificando o seu histórico de transações.
  • Denuncie. Reenvie os e-mails suspeitos de phishing para o endereço de denúncias da empresa que está a ser falsificada e, nos EUA, denuncie-os à FTC em reportfraud.ftc.gov. A denúncia ajuda a desmantelar operações fraudulentas.
  • Se já ligou, termine a conversa. Não instale nenhum software que lhe recomendem. Se concedeu acesso remoto ou partilhou informações de pagamento, contacte imediatamente o seu banco e execute uma verificação de segurança fiável no seu dispositivo.
  • Tenha cuidado com a urgência. Expressões como «dentro de 12 horas» ou «cancele agora» têm como objetivo pressioná-lo a agir antes de pensar. Reserve algum tempo para verificar a informação por si próprio.

Os burlões estão cada vez mais a recorrer a táticas que o software não consegue detetar facilmente. Um número de telefone incluído num e-mail é difícil de avaliar pelas ferramentas de segurança, e a burla propriamente dita ocorre através de uma chamada telefónica, em vez de um link ou anexo malicioso.

É por isso que é importante ter descoberto esta campanha durante a sua implementação. Em vez de vermos os danos só depois, pudemos observar os preparativos: modelos por terminar, detalhes incompletos e o kit de fraude antes de ter sido totalmente implementado.

A melhor defesa é simples: se uma fatura inesperada lhe pedir para ligar imediatamente para um número, pare e verifique primeiro o valor cobrado por conta própria.

Indicadores de comprometimento

Domínios

invoicepdfin[.]xyz

invoicepdfus[.]xyz

invoicepdfusa[.]xyz

invoicerep[.]xyz

invoicestatement[.]xyz

invoicestm[.]xyz

Números para contacto

804-392-2793

801-640-8589

Algo parece errado? Verifique antes de clicar.  

Malwarebytes Guardajuda-o a analisar instantaneamente links, mensagens de texto e capturas de ecrã suspeitos.  

Disponível comMalwarebytes Premium para todos os seus dispositivos e naMalwarebytes para iOS Android.  

Experimente gratuitamente → 

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

Fraudes
phishing em grande escala

Os programas de roubo de dados estão a tornar-se a carga útil preferida no phishing

junho 3, 2026

Os cibercriminosos preferem os programas de roubo de dados às técnicas tradicionais de phishing porque estes reduzem os obstáculos, são facilmente escaláveis e estão amplamente disponíveis.

Telemóvel
Telemóvel

Os falsos alertas de vírus estão a invadir os jogos para dispositivos móveis

junho 2, 2026

«O seu dispositivo está infetado!» Avisos falsos sobre contas e alertas de vírus estão a transformar alguns anúncios dentro dos jogos em armadilhas de malware.

Privacy

A falsa BlueWallet rouba palavras-passe, contas e criptomoedas de computadores Mac

junho 1, 2026

Um download falso do BlueWallet induz Mac a executarem malware que rouba palavras-passe, carteiras de criptomoedas e dados da área de transferência.

Adicionar como fonte preferencial no Google

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes