Golpe do QR Code: Como a Engenharia Social em Mensageiros Pode Comprometer Suas Contas
Um relato detalhado de uma tentativa de golpe em um grupo de mensagens, onde cibercriminosos usam engenharia social para obter códigos de autorização e acessar contas. O artigo explora os riscos e as medidas de proteção.
MundiX News·10 de junho de 2026·6 min de leitura·👁 5 views
Um colega compartilhou uma experiência preocupante: foi adicionado a um grupo de mensagens e sentiu receio de acessá-lo, devido a anos de alertas sobre segurança. Ao investigar, o autor do post descobriu que se tratava de uma tentativa de golpe com o objetivo de obter códigos de autorização para novos acessos em mensageiros.
O grupo, falsamente identificado como "ЭнергосбыТ Плюс (ГРД)| расчёт", simulava um comunicado oficial sobre um recálculo de contas de serviços públicos. A mensagem solicitava que os usuários confirmassem seus dados e, em caso de dúvidas, informassem no chat. A interação inicial parecia legítima, com alguns usuários confirmando suas informações. No entanto, a situação escalou quando o "operador" instruiu os membros a acessarem um bot através de um link, sob o pretexto de confirmar dados para um recálculo preciso de pagamentos. O bot, por sua vez, solicitava o número de telefone do usuário e, posteriormente, um código de autorização enviado para o mensageiro. Este código é a chave que os golpistas buscam para obter acesso à conta.
O autor detalha dois cenários de ataque após a obtenção do código. O primeiro é o mais óbvio: o golpista anuncia o sucesso do golpe, expulsa a vítima da sessão ou começa a exigir algo, aproveitando o acesso à troca de mensagens para enganar outros. O segundo, e mais insidioso, é o acesso silencioso. Os criminosos podem monitorar as conversas, roubar informações confidenciais, senhas compartilhadas em grupos de trabalho ou armazenadas em "Favoritos". Um exemplo prático foi citado, onde um usuário teve sua conta comprometida e, após investigação, lembrou-se de ter fornecido um código de confirmação para obter um desconto em um marketplace. Isso sugere que a engenharia social pode ir além do próprio mensageiro, envolvendo aplicativos ou sites fraudulentos que redirecionam códigos de confirmação.
O autor critica a falta de barreiras de segurança em alguns mensageiros, sugerindo a implementação de etapas adicionais, como questionários de segurança, antes de permitir o acesso a procedimentos sensíveis. Ele reforça a importância de não compartilhar senhas ou informações confidenciais em chats, mesmo em grupos de trabalho. Recomenda-se a verificação regular de sessões ativas, a criação de lembretes e a realização de conversas sobre segurança com funcionários. Armazenar senhas em texto plano em "Favoritos" também é desaconselhado, sendo mais seguro guardar apenas dicas para recuperação. A vigilância constante das próprias contas, assim como as de familiares, é fundamental, pois qualquer mensageiro, por mais seguro que pareça, pode ser comprometido pela desatenção do usuário ou por ações maliciosas de terceiros.
Por fim, o autor esclarece que o objetivo do artigo não é apenas relatar ter sido alvo de um golpe, mas sim alertar sobre um cenário específico onde a conta não é imediatamente roubada, mas sim monitorada silenciosamente. Ele também sugere que um parceiro ciumento poderia utilizar essa tática, já que os códigos de autorização são enviados em um chat de "Mensagens do Sistema" que pode ser limpo. O post serve como um alerta para usuários de mensageiros, especialmente em ambientes corporativos, sobre os perigos da engenharia social e a importância da vigilância digital.
Um colega compartilhou uma experiência preocupante: foi adicionado a um grupo de mensagens e sentiu receio de acessá-lo, devido a anos de alertas sobre segurança. Ao investigar, o autor do post descobriu que se tratava de uma tentativa de golpe com o objetivo de obter códigos de autorização para novos acessos em mensageiros.
O grupo, falsamente identificado como "ЭнергосбыТ Плюс (ГРД)| расчёт", simulava um comunicado oficial sobre um recálculo de contas de serviços públicos. A mensagem solicitava que os usuários confirmassem seus dados e, em caso de dúvidas, informassem no chat. A interação inicial parecia legítima, com alguns usuários confirmando suas informações. No entanto, a situação escalou quando o "operador" instruiu os membros a acessarem um bot através de um link, sob o pretexto de confirmar dados para um recálculo preciso de pagamentos. O bot, por sua vez, solicitava o número de telefone do usuário e, posteriormente, um código de autorização enviado para o mensageiro. Este código é a chave que os golpistas buscam para obter acesso à conta.
O autor detalha dois cenários de ataque após a obtenção do código. O primeiro é o mais óbvio: o golpista anuncia o sucesso do golpe, expulsa a vítima da sessão ou começa a exigir algo, aproveitando o acesso à troca de mensagens para enganar outros. O segundo, e mais insidioso, é o acesso silencioso. Os criminosos podem monitorar as conversas, roubar informações confidenciais, senhas compartilhadas em grupos de trabalho ou armazenadas em "Favoritos". Um exemplo prático foi citado, onde um usuário teve sua conta comprometida e, após investigação, lembrou-se de ter fornecido um código de confirmação para obter um desconto em um marketplace. Isso sugere que a engenharia social pode ir além do próprio mensageiro, envolvendo aplicativos ou sites fraudulentos que redirecionam códigos de confirmação.
O autor critica a falta de barreiras de segurança em alguns mensageiros, sugerindo a implementação de etapas adicionais, como questionários de segurança, antes de permitir o acesso a procedimentos sensíveis. Ele reforça a importância de não compartilhar senhas ou informações confidenciais em chats, mesmo em grupos de trabalho. Recomenda-se a verificação regular de sessões ativas, a criação de lembretes e a realização de conversas sobre segurança com funcionários. Armazenar senhas em texto plano em "Favoritos" também é desaconselhado, sendo mais seguro guardar apenas dicas para recuperação. A vigilância constante das próprias contas, assim como as de familiares, é fundamental, pois qualquer mensageiro, por mais seguro que pareça, pode ser comprometido pela desatenção do usuário ou por ações maliciosas de terceiros.
Por fim, o autor esclarece que o objetivo do artigo não é apenas relatar ter sido alvo de um golpe, mas sim alertar sobre um cenário específico onde a conta não é imediatamente roubada, mas sim monitorada silenciosamente. Ele também sugere que um parceiro ciumento poderia utilizar essa tática, já que os códigos de autorização são enviados em um chat de "Mensagens do Sistema" que pode ser limpo. O post serve como um alerta para usuários de mensageiros, especialmente em ambientes corporativos, sobre os perigos da engenharia social e a importância da vigilância digital.
