Sem dúvida alguma, a Black Friday é uma das datas mais importantes do ano para fazer compras online. Esta última sexta-feira de novembro foi um dia feliz para muitos internautas que conseguiram pechinchas online, que andavam à procura. Mas, às vezes, “o barato sai caro”.

Alguns compradores não tiveram consciência que foram vítimas de uma ciberfraude e, enquanto aguardavam pelas suas fantásticas compras em suas casas, os cibercriminosos esvaziavam as suas contas bancárias e eliminavam os seus sites falsos.

Este artigo recolhe factos e dados reais de uma ciberfraude em que um grupo organizado de cibercriminosos enganou centenas de espanhóis num fim de semana.
Durante a investigação irei mostrar pormenores e dar conselhos a ter em conta antes de efetuar qualquer compra online. Isto pode ser usado como guia para evitar que outras pessoas possam ser vítimas de uma ciberfraude.

Experiências de um burlado

JCCM (iniciais da pessoa burlada) acedeu ao website com a intenção de comprar uma Nintendo Switch Lite, para oferecer no Natal, aproveitando o fim de semana de Black Friday e conseguir a “pechincha” há tanto aguardada.

A partir do Google, encontrou um link direto para a consola que andava à procura com o domínio www.tecnologia24h.com. O site não lhe pareceu suspeito, tinha até o certificado SSL (ligação segura/cadeado verde), um design profissional, uma página recomendada por outros compradores em blogs e fóruns muito conhecidos na Internet. Os preços eram muito bons e decidiu comprar rapidamente, porque queria receber a sua compra entre segunda e terça-feira da semana seguinte, antes que terminasse a semana Black Friday.Depois de se registar no site com os seus dados pessoais, fez a compra e recebeu este e-mail do website tecnologia24h.com a 30 de novembro de 2019:


Com os dados enviados pela empresa foi ao seu banco habitual fazer a transferência bancária na caixa multibanco. Satisfeito com a sua pechincha, esperou até segunda-feira 2 de dezembro de 2019 para verificar o estado da sua encomenda. Mas o site onde fez a compra já não existia e estava outro no seu lugar.

Por momentos pensou que teria escrito mal o link, mas as dúvidas desapareceram quando procurou o link enviado para o seu e-mail e o endereço abria a mesma página vazia.
Nesse preciso momento percebeu que tinha sido vítima de uma ciberfraude e que não fazia ideia quais seriam os procedimentos a seguir para recuperar o seu dinheiro.

Onde ocorreram essas fraudes?

A fraude registou-se em duas plataformas de compras online com os domínios toyspla.net e tecnologia24h.com. No primeiro domínio substituem a identidade corporativa da marca Toys Planet para cometer a burla, e o segundo é uma loja online com marca própria.
Esta última foi o website usado em Espanha para a campanha “Black Friday 2019”. Se verificarmos a data de criação do domínio vemos que os cibercriminosos registaram o mesmo poucos dias antes da Black Friday.

Em tão curto prazo de tempo conseguiram que os principais motores de busca, como o Google, indexassem o seu conteúdo rapidamente para posicionar os sites falsos nas primeiras dez páginas de pesquisa. Por isso, em casos como este, é sempre importante verificar a data de criação e os dados do registante do domínio. Para isso podem recorrer a esta ferramenta online e gratuita.

Outro ponto que devemos ter em conta é o preço baixo dos produtos. Se compararmos estes com outros sites da concorrência podemos ver diferenças de preço de 40 € até 100 €.
É com este atrativo que os cibercriminosos nos iludem para fazer compras no site deles, pensando que estamos perante uma pechincha. E, claro, se estamos na Black Friday, o que pode correr mal?

Outra forma que nos pode ajudar a verificar se é ou não um esquema são os erros tipográficos e ortográficos na página, ou parágrafos mal traduzidos e sem sentido.  No entanto, a forma de pagamento sugerida no website é outro aspeto a ter em consideração.
Mesmo que o site exiba os logótipos de Visa e MasterCard, este apenas aceitava pagamentos por PayPal e transferências bancárias, algo muito estranho e suspeito nos websites desta natureza.

Além disso, antes de fazer uma compra online através de alguns dos métodos de pagamento referidos anteriormente, devemos fazer as seguintes perguntas: quem são e onde estão? No rodapé do site há um CIF (Código de Identificação Fiscal).


O curioso é que o CIF já não é usado como método de identificação em Espanha desde 2008, e passou a ser o que chamamos atualmente de NIF (Número de Identificação Fiscal).
Vejamos também como podemos verificar no Google os dados da empresa através do CIF ou NIF, pela denominação social ou atividade.

Verificamos os supostos dados fiscais da empresa, onde podemos comprovar que a sua atividade empresarial não corresponde à venda de produtos tecnológicos.
Encontramos uma usurpação de identidade bastante clara.

Seguindo a pista dos burlões

Como se pode imaginar, os cibercriminosos são grupos muito bem organizados e com conhecimentos avançados em hacking, programação, informática e, até, em leis. Portanto, seguir-lhes a pista é muito complicado, pelo que se deve deixar este trabalho para as forças do estado, a Polícia, que conta com profissionais altamente qualificados. Em alternativa, e como método para obter mais informação sobre um site, pessoa ou empresa, podemos geolocalizá-los pelo endereço de IP.

Mas temos o endereço IP? Sabemos qual é o domínio e temos também um e-mail que algum sistema automatizado ou uma pessoa nos enviou, para fazermos a transferência bancária. Portanto, temos pelo menos dois endereços de IP que nos podem servir para geolocalizar os seus servidores. Isso ajudaria a perceber a credibilidade do site.

Obtendo o endereço IP do domínio tecnologia24h.com:

Apesar de nos sistemas UNIX termos comandos específicos, vamos apoiar-nos nesta ferramenta online e gratuita: check-host.net.
Como se pode ver, o servidor web encontra-se em Bratislava (Eslováquia), algo muito suspeito para uma empresa espanhola.
Se existiam dúvidas, com esta prova fica claro que seria um erro grave da nossa parte fazer qualquer compra neste site.

Analisando os cabeçalhos do e-mail enviado por tecnologia24h.com:

Temos um e-mail que recebemos do suposto site falso com os dados bancários, para fazermos a transferência e pagar o produto que comprámos. Deixo aqui um link que explica como obter os cabeçalhos dependendo do serviço de e-mail que estamos a usar. Tendo os cabeçalhos só nos falta rastrear o e-mail com esta ferramenta que o Google nos oferece gratuitamente:


Sabendo qual é o endereço de IP a partir de onde foi enviado o e-mail podemos testar a geolocalização com esta nova ferramenta:
Ao que parece, o endereço de IP corresponde a um equipamento de uma rede interna. A pista do nosso suspeito acaba aqui.

Resumo para identificar um site falso

• Verificar a data de criação do domínio web e os dados do registrante (esses dados podem estar protegidos).
• Fugir de exageradas diferenças de preço em comparação com a concorrência.
• Erros tipográficos e/ou ortográficos, partes de textos mal traduzidos e/ou sem sentido.
• Métodos de pagamento NÃO seguros.
• Verificar os dados fiscais e de localização através do nome, NIF, telefone, e-mail ou atividade da empresa.
• Nunca é demais verificar a origem dos servidores, países como Eslováquia, Croácia, Rússia, China ou Nigéria são bastante usados por cibercriminosos.
• Analisar cabeçalhos do e-mail para rastrear a proveniência pode ajudar-nos a verificar a legitimidade de um e-mail.

Sou vítima de uma ciberfraude. O que devo fazer?

A primeira coisa que tem a fazer é ir ao Banco pelo qual efetuou a transferência bancária e solicitar o cancelamento da mesma. É muito provável que o Banco te vá cobrar uma comissão (cerca de 10 €) para essa gestão.
Após esse pedido, deverá ir a uma esquadra de Polícia denunciar o sucedido, todas as provas são boas (capturas de ecrã, domínios de site usados, cópias dos e-mails, conta bancária, etc.).

O cancelamento da transferência irá depender do tempo decorrido desde a data da transferência. Se o pagamento foi efetuado dentro das 24 horas, é possível o cancelamento e a recuperação quase no ato, a partir da própria aplicação do Banco. Caso contrário deverá esperar alguns dias até que o Banco ou a Polícia informem de algo.

Final feliz para muitas das vítimas

Após realizar os passos anteriores, muitas das vítimas conseguiram recuperar o seu dinheiro em poucos dias, outras ainda não. Mas tenho a certeza que tanto a entidade bancária, como a Polícia estarão a fazer tudo o que é possível.

Espero que este artigo nos sirva para proteger-nos dos perigos existentes na rede. Os cibercriminosos não cumprem um horário de escritório, não descansam e estão sempre um passo à nossa frente.