Encomenda para você. Por favor, escaneie o QR Code

Como cibercriminosos estão extraindo dados de cartões bancários enquanto se passam por entregadores da DHL.

As compras online são agora uma parte definitiva da vida diária: recebemos comida, roupas e outros bens à nossa porta em apenas alguns cliques. Os viciados em compras on-line, que são muitos, às vezes podem esquecer um pacote ou perder uma ligação do correio. Para surpresa de ninguém, isso é explorado por criminosos que usam notificações de entrega falsas como isca.

Um exemplo disso são os cibercriminosos que fingem trabalhar para o serviço de correio expresso internacional DHL. No entanto, em vez do link de phishing usual, é um QR code contido no e-mail recebido que inicia esse tipo de fraude. Como e por que é o tema deste post.

“Sua encomenda encontra-se na agência”

Um ataque começa com um e-mail, aparentemente da DHL. Embora o endereço do remetente seja um conjunto aleatório de palavras sem nenhuma semelhança com o nome do serviço de courier, o corpo da mensagem é bastante convincente: logotipo da empresa, número do pedido (embora falso) e suposta data de recebimento de um pacote.

A própria mensagem (neste caso em espanhol) informa que um pedido chegou a uma agência local, mas os entregadores não conseguiram entregá-lo pessoalmente. Normalmente, essa isca é acompanhada por um link para “resolver o problema”, mas desta vez há um QR Code.

E-mail com QR Code supostamente da DHL. Por segurança, substituímos o código QR na captura de tela por um inofensivo

E-mail com QR Code supostamente da DHL. Por segurança, substituímos o código QR na captura de tela por um inofensivo


Um QR code é uma coisa bastante versátil. Ele pode ser usado, por exemplo, para se conectar ao Wi-Fi, pagar uma compra ou confirmar que você comprou um ingresso para um show ou filme. Mas talvez seu uso mais comum seja distribuir links off-line: digitalizar um quadrado em preto e branco que pode aparecer na embalagem do produto, cartazes publicitários, cartões de visita ou em qualquer outro lugar é um caminho rápido para um site relevante.

Nesse caso, é claro, os invasores não estavam pensando na conveniência do usuário. A ideia parece ser que, se a vítima abrir inicialmente o e-mail em um computador, ainda terá que ler o QR code com um smartphone, o que significa que o site malicioso será aberto na telinha de um celular, onde os sinais de phishing são mais difíceis de detectar. Devido às restrições de espaço em navegadores móveis, as URLs não são totalmente visíveis. E, no Safari, a barra de endereços foi movida recentemente para a parte inferior da tela, onde muitos usuários nem olham. Isso funciona bem nas mãos dos cibercriminosos porque o URL do site falso não se parece em nada com o oficial: a palavra DHL nem aparece.

O texto do site também é pequeno, o que significa que qualquer falha de design é menos perceptível. De qualquer forma, não são muitas: a página dá as boas-vindas aos usuários com as conhecidas cores amarela e vermelha da marca registrada, o nome da empresa é mostrado abaixo e o texto é praticamente livre de erros, exceto por algumas letras minúsculas no início das frases.

A vítima é informada de que o pacote chegará dentro de 1 a 2 dias; para recebê-lo, é solicitada a inserção do seu primeiro nome, sobrenome e endereço com CEP. O serviço de entrega de fato solicita esse tipo de informação, portanto, nenhuma suspeita é levantada.

Site falso da DHL solicita informações pessoais, além de detalhes de um cartão bancário

Site falso da DHL solicita informações pessoais, além de detalhes de um cartão bancário

Mas a coleta de dados não termina aí. Na página seguinte, a vítima é solicitada a compartilhar informações mais confidenciais: detalhes do cartão bancário, incluindo o código CVV no verso – supostamente para pagar a entrega. Os invasores não especificam um valor, mencionando apenas que o custo depende da região e garantindo que o dinheiro não será debitado até que o pacote chegue. Na verdade, a DHL genuína exige o pagamento antecipado da entrega, no momento da realização do pedido. Se um cliente realmente perder o correio, outra tentativa de entrega é feita gratuitamente.

O que os criminosos fazem com seus dados de pagamento?

É improvável que os criminosos comecem a cobrar o cartão da vítima imediatamente – para que este não vincule os débitos ao falso e-mail “DHL”. Eles são mais propensos a vender os dados de pagamento na dark web, e será o comprador que mais tarde desviará os fundos – quando a vítima já pode ter esquecido o pacote inexistente.

Como se proteger?

Todas as regras usuais de proteção contra ciberfraudes se aplicam neste caso:

  • Ao receber um e-mail alegando ser de um serviço conhecido, verifique sempre o endereço de e-mail do remetente. O nome real da empresa não aparece após o @? É mais provável que seja uma farsa. Para outros sinais reconhecíveis, veja nosso post separado.
  • Se você está esperando um pacote, certifique-se de anotar o código de rastreamento e verificar seu status no site oficial, abrindo-o a partir da pasta Favoritos ou inserindo a URL em um mecanismo de pesquisa manualmente.
  • Para garantir a segurança, ao digitalizar QR Codes, use nosso Kaspersky QR Scanner (disponível para Android e iOS. O aplicativo informará se o código aponta para um site perigoso.
  • Equipe todos os dispositivos com um antivírus confiável com proteção antiphishing e antifraude, que o avisará sobre qualquer perigo em tempo hábil.

Dicas