Golpe

O golpe bem na porta de casa

Brushing, quishing (QR phishing) e outros esquemas de fraude que começam com a entrega de um produto que você nunca pediu.

Stan Kaminsky
30 ago 2025

Você recebe uma notificação de entrega ou simplesmente encontra um pacote na porta de casa. Mas você não pediu nada! Claro, todo mundo adora um presente gratuito, mas, neste caso, é preciso manter a cautela. Existem vários golpes que começam com a entrega de um pacote em sua casa.

Antes de mais nada, é importante verificar com amigos e familiares, pois alguém pode ter enviado alguma coisa sem aviso prévio. Mas, se ninguém se prontificar, há uma boa chance de que um dos esquemas descritos abaixo pode estar acontecendo.

Alerta de spoiler: sob nenhuma circunstância leia códigos QR com o celular ou ligue para os números de telefone impressos na embalagem.

Inflar a reputação do vendedor

O termo golpe de brushing vem da gíria de comércio eletrônico na China. A expressão 刷单 significa literalmente “polir pedidos” e faz referência direta a um esquema para inflar a reputação do vendedor. Originalmente, o brushing era algo relativamente inofensivo: a pessoa recebia um produto que não havia solicitado, e o vendedor publicava no nome dela uma avaliação positiva para inflar sua própria reputação. Para fazer isso, vendedores inescrupulosos adquirem bancos de dados vazados com informações pessoais e criam novas contas em marketplaces usando os nomes e endereços das vítimas, mas cadastrando seus próprios e-mails e métodos de pagamento. Assim, as vítimas não sofrem perdas financeiras diretas.

Sorte sua, mas, primeiramente, precisamos de sua avaliação

Com o tempo, esse “brushing” relativamente inofensivo evoluiu para formas muito mais agressivas. Atualmente, os golpistas tentam enganar os destinatários do pacote ao atraí-los para um site malicioso. Para fazer isso, eles incluem um cartão ou adesivo com um código QR juntamente com a entrega. A história que acompanha o código varia, com exemplos comuns, inclusive os seguintes:

“Você recebeu um presente! Leia o código para verificar quem o enviou”
“Deixe um comentário sobre nosso produto e ganhe um vale-presente de R$ 100!”
“Confirme o recebimento do item entregue gratuitamente!”

Se a vítima verificar o código QR para descobrir quem é o remetente ou solicitar outro presente, o restante segue o padrão clássico de quishing (QR phishing): levando a vítima a inserir os dados de pagamento (por exemplo, para “ativar” o cartão-presente) ou códigos de aplicativos bancários/governamentais, ou ainda, solicitar a instalação de um aplicativo para “confirmar” ou “ativar”, o que, obviamente, é um malware.

E se não houver nenhum produto?

Os esquemas acima só funcionam quando uma loja on-line pode se dar ao luxo de “doar” produtos como uma tática promocional. Mas os golpistas ainda podem obter os dados sem enviar nenhuma mercadoria? Sim, eles podem, e de fato, é o que fazem.

Em vez de um pacote, a vítima encontra um cartão postal impresso profissionalmente na porta de casa: “Infelizmente, nosso serviço não pôde entregar seu pacote porque você estava ausente. Um presente no valor de R$ 200 só poderá ser entregue pessoalmente, entre em contato conosco para combinar uma nova entrega”. O cartão postal inclui um código QR, um endereço de site e, às vezes, até um número de telefone para “reagendar” a entrega.

Exemplo de um cartão postal de phishing com um endereço de site e código QR

Um cartão postal de phishing supostamente do Royal Mail, completo com um endereço de site e código QR, parece altamente convincente, ou seja, os golpistas prestaram muita atenção aos detalhes. Fonte

Se alguém ligar para o número ou visitar o site malicioso vinculado ao código QR, a vítima terá os detalhes de pagamento, senhas ou códigos únicos violados por meio de um dos cenários comuns de fraude de “entrega”:

“Escolha um horário de entrega imediatamente para que o item não seja devolvido ao remetente”
“Pague uma taxa de R$ 2 para nova entrega”. O objetivo aqui é obter os dados de pagamento e, em seguida, cobrar valores muito maiores.
“Pague pelo direito aduaneiro”. Você recebe a informação de que um pacote valioso foi enviado, mas é necessário pagar a taxa. E esses valores podem ser bastante significativos (dependendo do valor do suposto item). Em alguns países, um “entregador” pode até vir pessoalmente para cobrar a taxa em dinheiro.

Todos esses esquemas podem levar à perda de informações pessoais e financeiras, mas às vezes eles se transformam em fraudes telefônicas com perdas muito maiores. Por exemplo, após o pagamento de uma taxa de entrega falsa, os golpistas podem ligar afirmando que o pacote não pôde ser entregue porque conteria drogas. Isso vem na sequência da pressão psicológica feita por meio de ligações de um “policial” e tentativas de extorquir uma grande soma de dinheiro para “proteger” a vítima de acusações criminais.

Dinheiro na entrega

Outro golpe popular envolve produtos com pagamento na entrega. Às vezes, os golpistas anunciam um produto com antecedência e o enviam à vítima com seu consentimento, mas também há uma versão em que um pacote chega do nada. Um dia, um entregador aparece na porta de casa com um pacote em seu nome. Normalmente, um nome de produto atraente é exibido com destaque na caixa, por exemplo, um smartphone de última geração. Mas… a vítima tem que pagar pelo produto. O preço é 2 a 3 vezes menor do que o valor de mercado. Os golpistas contam com a ganância e a urgência (“o entregador está com pressa, vamos fazer isso rapidamente!”) para fazer a vítima pagar sem verificar o item corretamente. O entregador sai correndo, e a vítima abre a caixa para encontrar uma imitação barata do produto solicitado, ou, simplesmente, lixo.

Se a vítima se recusar a pagar pelo item misterioso, os golpistas podem ter um “plano b” pronto, ou seja, eles poderão enganá-la para que forneça um código de verificação único para um marketplace ou banco, com o pretexto de “confirmar o cancelamento do pedido”.

Ataques direcionados

Às vezes, os golpes de entrega física têm como alvo vítimas específicas. Por exemplo, os criminosos tentaram roubar criptomoedas por meio do envio de pacotes aos proprietários da carteira de hardware Ledger que alegam ser uma substituição de garantia gratuita para dispositivos defeituosos. Dentro do pacote havia uma “nova” carteira criptográfica, na verdade, um pendrive carregado com malware projetado para roubar a frase-semente da carteira. O envio de pendrives USB também foi usado pela gangue de ransomware FIN7 como parte de ataques direcionados a organizações.

A ameaça oculta

Golpes de brushing e quishing têm uma causa raiz desagradável. Se alguém estiver recebendo esses pacotes, isso significa que o endereço e outras informações de contato da vítima vazaram nos bancos de dados e estão circulando em fóruns clandestinos. Esses conjuntos de dados são vendidos repetidamente, portanto, as vítimas também podem ser alvo de outros tipos de fraude. Esteja preparado: ative a autenticação de dois fatores em todos os lugares, fique atento com chamadas fraudulentas, instale o Kaspersky Who Calls para se proteger dessas chamadas de spam, verifique seus extratos bancários com frequência e não se esqueça de instalar proteção confiável em todos os dispositivos.

O que fazer se você receber um pacote inesperado?

Examine cuidadosamente a embalagem, os rótulos e todos os documentos que o acompanham.
Tire uma foto do pacote por precaução, mas nunca leia nenhum link de códigos QR, nem de texto impresso. Guarde a embalagem para o caso de haver uma investigação posterior.
Nunca ligue para os números de telefone ou, mais uma vez, visite os links impressos no pacote.
Nunca pague “taxas de entrega” ou “taxas alfandegárias” e nunca forneça os detalhes de pagamento.
Nunca conecte dispositivos de armazenamento digital recebidos inesperadamente ao computador ou smartphone.
Se o pacote foi entregue por um serviço de entregas importante e conhecido (Amazon, eBay, DHL Express, UPS, FedEx, AliExpress, serviços postais nacionais, etc.), acesse o site oficial da empresa, encontre os números de contato, rastreamento on-line do serviço ou bate-papo ao vivo e verifique o status da remessa e as informações do remetente. Se o pacote tiver um número de rastreamento, basta inserir manualmente, e, de novo, não leia nenhum código QR na etiqueta.
Denuncie o pacote suspeito ao serviço de entregas e à polícia, mesmo que nenhum dinheiro tenha sido roubado.

Leia mais detalhes sobre golpes envolvendo códigos QR, marketplaces e serviços de entrega:

Encomenda para você. Por favor, escaneie o QR Code

Códigos QR (in)seguros

QR Code: facilidade ou perigo?

Fóruns de discussão atingidos por novo golpe de videochamada

Golpes no Telegram com bots, brindes e criptomoedas

Tudo o que você precisa saber sobre os golpes e phishing mais recentes no Telegram e como se manter seguro.

Dicas

Como desaparecer da Internet

Um guia passo a passo para eliminar o máximo possível da sua pegada digital.

Os prós e contras dos navegadores com tecnologia de IA

Uma corrida entre gigantes da tecnologia está acontecendo diante de nossos olhos. Quem será o primeiro a transformar o navegador em um aplicativo assistente de IA? Ao testar esses novos produtos, é importante considerar o enorme impacto na segurança e na privacidade.

Descubra por que os corretores de dados criam dossiês sobre você e como impedir que eles façam isso

Milhares de empresas existem para um único propósito: coletar e revender informações sobre cada um de nós. Como elas fazem isso, como você pode limitar a coleta de dados e como excluir o que já foi coletado?

Livre de culpa: como sentir-se seguro ajuda a melhorar a cibersegurança

As empresas precisam fomentar uma cultura de segurança. Mas isso é impossível quando os funcionários têm medo de relatar incidentes ou sugerir melhorias.

FERRAMENTAS GRATUITAS

O golpe bem na porta de casa

Inflar a reputação do vendedor

Sorte sua, mas, primeiramente, precisamos de sua avaliação

E se não houver nenhum produto?

Dinheiro na entrega

Ataques direcionados

A ameaça oculta

O que fazer se você receber um pacote inesperado?

Como evitar se tornar uma mula financeira

Como as redes sociais da Meta se tornaram uma plataforma para golpes de investimento

Golpes no Telegram com bots, brindes e criptomoedas

Dicas

Como desaparecer da Internet

Os prós e contras dos navegadores com tecnologia de IA

Descubra por que os corretores de dados criam dossiês sobre você e como impedir que eles façam isso

Livre de culpa: como sentir-se seguro ajuda a melhorar a cibersegurança

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog