Grupo invade empresas para gerar e revender gift cards; entenda o golpe

Esquema cibercriminoso sofisticado envolve coleta de dados internos críticos e acesso à infraestrutura de lojas digitais.

Nilton Cesar Monastier Kleina

schedule23/10/2025, às 14:13

Grupo invade empresas para gerar e revender gift cards; entenda o golpe

O grupo de pesquisa em cibersegurança Unit 42, da Palo Alto Networks, descobriu um novo crime virtual envolvendo gift cards, os vales-presente que dão descontos em compras virtuais. A fraude envolve a invasão de sistemas e a produção desses cartões dentro da infraestrutura da vítima para revenda ilegal.

Os responsáveis por esse esquema elaborado foram batizados de Jingle Thief e não atacam consumidores tradicionais. O alvo é o sistema gerador de vales das empresas que lidam com varejo, lojas virtuais e comércio em geral de produto ou serviços, especialmente aquelas que dependem totalmente de computação em nuvem para as atividades.

smart_display

Nossos vídeos em destaque

A anatomia do golpe dos gift cards

O Jingle Thief, que tem o codinome oficial de CL‑CRI‑1032, é um golpe mantido por uma gangue de cibercriminosos situada no Marrocos e que atua ao menos desde 2021. A identidade dos integrantes ainda não foi descoberta.

A ação já foi registrada durante todo o ano, mas tende a ser intensificada durante períodos de alto volume de vendas por tornar a identificação do golpe ainda mais difícil. É o caso dos dois últimos meses do ano, marcados por datas como a Black Friday e o Natal.

A fraude começa com um clássico ataque de phishing mensagens de texto falsas com o objetivo de comprometer computadores e celulares corporativos de funcionários. Nesta etapa, vários integrantes da área comercial de uma organização viram alvo de emails ou mensagens de texto falsas que levam ao roubo das credenciais de acesso;
Já dentro dos sistemas de uma companhia, os criminosos passam até meses apenas coletando informações sobre o funcionamento dos sistemas da empresa;

tela-login-phishing — A tela falsa de login para roubar uma conta corporativa. (Imagem: Reprodução/Unit 42)

Eles também atacam outros funcionários com um esquema de phishing mais sofisticado por partir da conta invadida, ganhando mais privilégios de infraestrutura e acessando lateralmente as ferramentas do Microsoft 365;
O passo seguinte é acessar a aplicação interna de geração de gift cards, especialmente os vales de alto valor, e gerar esses descontos em massa. Os vales são então comercializados em fóruns e redes sociais;
Para reduzir as chances de detecção da fraude, o grupo ainda tem o cuidado de apagar vestígios da criação dos cartões e das mensagens de phishing ao automaticamente esconder emails internos que entregariam as ações suspeitas.

pishing-email-fraude-cartões-presente — A configuração para esconder os emails suspeitos. (Imagem: Reprodução/Unit 42)

A escolha por esses cartões de desconto envolve a facilidade em gerar e passar esse tipo de item virtual para outra pessoa. Eles ainda são difíceis de rastrear, úteis em crimes como lavagem de dinheiro e não exigem muitos dados pessoais para validação. Segundo o relatório, em um dos casos o Jingle Thief ficou 10 meses dentro dos sistemas de uma única empresa, com 60 contas comprometidas.

Para além dos prejuízos com a geração de vales-presente sem autorização, as empresas podem ainda sofrer com outros cibercrimes posteriormente. Isso porque os invasores têm acesso a dados sensíveis da corporação, que podem ser vendidos ou usados em mais cibercrimes.

Um golpe que executa códigos maliciosos no seu PC pode se esconder em versões premium falsas de aplicativos e serviços como a Netflix. Saiba mais sobre esse caso nesta matéria!

Perguntas Frequentes

O que é o golpe dos gift cards descoberto pela Unit 42?

Trata-se de um esquema cibercriminoso sofisticado, identificado pelo grupo de pesquisa Unit 42 da Palo Alto Networks, no qual hackers invadem sistemas de empresas para gerar vales-presente (gift cards) dentro da própria infraestrutura da vítima. Esses cartões são então revendidos ilegalmente em fóruns e redes sociais.

Quem são os responsáveis por esse golpe?

O grupo criminoso foi apelidado de Jingle Thief e tem o codinome técnico CL‑CRI‑1032. Ele é composto por cibercriminosos baseados no Marrocos e atua pelo menos desde 2021. A identidade dos integrantes ainda não foi descoberta.

Como o golpe é executado pelas etapas técnicas?

O golpe começa com ataques de phishing, usando mensagens falsas para roubar credenciais de funcionários. Após invadir os sistemas, os criminosos passam meses coletando informações e ganhando acesso a ferramentas internas, como o Microsoft 365. Em seguida, acessam a aplicação de geração de gift cards e criam vales de alto valor, que são vendidos ilegalmente. Por fim, apagam rastros para dificultar a detecção.

Por que os gift cards são o alvo preferido do grupo?

Gift cards são fáceis de gerar e transferir, difíceis de rastrear e não exigem muitos dados pessoais para serem utilizados. Além disso, podem ser usados em crimes como lavagem de dinheiro, o que os torna atraentes para cibercriminosos.

Quais empresas estão mais vulneráveis a esse tipo de ataque?

Empresas que atuam no varejo, comércio eletrônico ou prestam serviços digitais, especialmente aquelas que dependem fortemente de computação em nuvem, são os principais alvos do Jingle Thief.

O golpe é mais comum em alguma época do ano?

Sim. O golpe tende a se intensificar em períodos de alto volume de vendas, como a Black Friday e o Natal, pois o aumento nas transações dificulta a identificação de atividades suspeitas.

Quais são os riscos além da geração ilegal de gift cards?

Além do prejuízo financeiro direto, as empresas invadidas correm o risco de ter dados sensíveis expostos ou vendidos, o que pode resultar em novos cibercrimes e danos à reputação da organização.