Pagamento para pedágio free flow era golpe na busca do Google

Criminosos estavam se aproveitando do novo sistema de pedágio free flow no estado de São Paulo para aplicar golpes em vítimas. O golpe consistia em um site falso, para o pagamento das taxas do pedágio, que aparecia como o primeiro resultado de pesquisas do Google e mostrava valores abusivos após o usuário inserir a placa do carro.

A técnica maliciosa envolve o abuso do Google Ads para patrocinar sites de phishing e roubar dinheiro de vítimas. O TecMundo entrou em contato com o Google para um posicionamento, que se limitou a comentar: “Temos políticas claras que definem como anunciar no Google Ads. Tais políticas incluem, por exemplo, proibição de anúncios desonestos, que possam enganar outros usuários. Quando identificamos uma violação, agimos imediatamente".

“No Brasil, apenas em 2024, 201 milhões de anúncios foram removidos e 1,3 milhão de contas de anunciantes foram suspensas no ano passado, conforme divulgado no nosso Relatório de Segurança em Anúncios. Oferecemos uma ferramenta para que os usuários possam contribuir e também denunciem violações”.

Como funciona o golpe

O site aparecia como resultado patrocinado no Google, o que deixava-o em posição de destaque nas páginas de pesquisa, para ganhar a confiança dos usuários. Além disso, o endereço pedia que o internauta inserisse a placa do carro e aceitasse os termos de uso e política de privacidade do sistema.

Ao inserir a placa do carro, o sistema indicava a marca, modelo, ano cor e chassi do carro, além do valor que a vítima supostamente teria que pagar de pedágio. Para dar o sentimento de urgência, a mensagem também dava um prazo para o pagamento, ameaçando encaminhar a infração relacionada ao veículo para o Detran.

Além disso, mostra-se uma mensagem com a lei que prevê multa de evasão de pedágio, que resulta em um pagamento de R$ 195,23 e 5 pontos na Carteira Nacional de Habilitação (CNH).

O golpe combina várias características de campanhas sofisticadas, como o abuso do Google Ads e manipulação de SEO para que o site fraudulento apareça nos primeiros resultados de busca, técnicas de engenharia social, incluindo phishing (imitação de página oficial do governo), senso de urgência através de prazos e ameaças de multa, e uso de dados reais dos veículos para conferir credibilidade à fraude.

Vazamento do Detran expôs 33 milhões de motoristas

Em novembro de 2024, credenciais de acesso ao Sistema de Certificação de Segurança Veicular (SisCSV), utilizado pelo Detran para vistorias veiculares, vazaram e permitiram que criminosos consultassem informações pessoais e de veículos de aproximadamente 33 milhões de brasileiros. O incidente foi denunciado ao site TecMundo e confirmado pelo Serviço Federal de Processamento de Dados (Serpro).

O vazamento expôs dados sensíveis como nome completo, CPF, endereço residencial, Renavam, placas de veículos, modelo, cor, fotos dos automóveis, além de informações sobre data e localização das vistorias. A falha de segurança atingiu motoristas de todo o país, deixando milhões de brasileiros vulneráveis a golpes direcionados.

O problema teve origem na ausência de autenticação de dois fatores no sistema. Criminosos utilizaram credenciais vazadas de funcionários para acessar o sistema sem qualquer barreira adicional de segurança.

Esse tipo de ataque, conhecido como "credential stuffing", permitiu que os dados fossem extraídos e posteriormente comercializados em painéis do crime, onde informações pessoais são vendidas por valores entre R$ 10 e R$ 200 para aplicação de diversos tipos de fraudes.

Site está fora do ar

O site falso aproveitou a falta de informações divulgadas sobre o novo pedágio para fazer suas vítimas antes mesmo do novo modelo de cobrança entrar em vigor. Os veículos só passaram a ser cobrados a partir do dia 6 de dezembro, e agora o site, que desde ontem já estava marcado como suspeito, já está fora do ar.

Como se proteger

Para se proteger desse tipo de golpe, é possível tomar algumas precauções.

• Acesse apenas sites oficiais: nunca clique em anúncios patrocinados do Google para acessar serviços de pedágio ou páginas do governo. Digite o endereço oficial diretamente no navegador ou salve nos favoritos. Sites governamentais legítimos terminam em .gov.br;
• Verifique a URL com atenção: golpistas usam domínios similares aos oficiais, mas com extensões como .com.br, .net ou .org. Procure o cadeado de segurança (HTTPS) na barra de endereços e desconfie de URLs muito longas ou com caracteres estranhos;
• Desconfie de senso de urgência: criminosos usam prazos apertados e ameaças de multa para pressionar a vítima a pagar rapidamente. Antes de efetuar qualquer pagamento, consulte os valores reais nos canais oficiais e questione por que há tanta urgência;
• Não forneça dados sem verificar: sites fraudulentos pedem a placa do veículo para "consulta" e depois usam dados vazados para exibir informações reais, conferindo credibilidade ao golpe. Questione sempre por que o site precisa de determinadas informações;
• Monitore seus dados: utilize o Registrato, do Banco Central, para acompanhar movimentações no seu CPF. Ative notificações de transações bancárias e verifique regularmente extratos e faturas do cartão de crédito;
• Confirme pelos canais oficiais: em caso de dúvida, entre em contato com o SAC oficial do concessionário do pedágio ou com o Detran pelos canais oficiais. Não use números de telefone fornecidos em sites suspeitos.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.