Por que isso é importante agora
Os grandes eventos esportivos concentram a demanda do consumidor. Os fãs correm para comprar ingressos, mercadorias e viagens em um curto espaço de tempo, e os golpes de compra seguem essa demanda onde quer que ela aumente.
A equipe de Inteligência de Fraude de Pagamento da Recorded Future tem analisado uma tática de golpe de compra criada exatamente para esse tipo de demanda orientada por eventos. A tática equivale ao envenenamento por SEO de sites legítimos. O que é mais notável não é o golpe em si, mas como ele encontra as vítimas: por meio de resultados de pesquisa orgânica capturados por sites legítimos comprometedores, sem que os golpistas jamais comprem anúncios ou adquiram seus próprios domínios para classificar.
Golpes de compra, brevemente
Como explicado em este relatórioo modelo básico de golpe de compra é simples. Um site anuncia produtos que parecem reais com grandes descontos, aceita o pagamento e nunca envia o produto. A atração usual é a publicidade nas redes sociais que aponta para sites de personificação de marcas.
Para muitas vítimas de golpes de compras, o crime não para por aí. Os fraudadores que operam os golpes também roubam os dados dos cartões de pagamento de seus “clientes”, resultando em uma série de cobranças não autorizadas se o roubo não for percebido rapidamente.
Figuras 1-2: Resultados da pesquisa mostrando possíveis páginas fraudulentas de compra injetadas em sites legítimos e o site fraudulento de compra para o qual os visitantes são redirecionados (Fonte: Futuro Gravado)
Como funciona a tática
Conseguir que um domínio fraudulento totalmente novo tenha uma classificação elevada nos resultados de pesquisa normalmente requer um trabalho caro de otimização de mecanismo de pesquisa. Ao incorporar redirecionamentos em sites legítimos e bem classificados, os golpistas podem direcionar o tráfego orgânico para comprar domínios fraudulentos sem a necessidade de investir eles próprios em SEO. A equipe de Payment Fraud Intelligence observou que os golpistas estão usando um padrão consistente de quatro etapas:
- Obtenha acesso não autorizado a um site legítimo.
- Plante listagens de produtos e metadados falsos para rastreadores de pesquisa nesse site.
- Coopte a classificação de pesquisa existente do site para atrair compradores.
- Redirecione os visitantes que chegam de um resultado de pesquisa para os domínios fraudulentos.
O redirecionamento é seletivo: o código injetado é acionado apenas para visitantes que chegam de um resultado de pesquisa carregando um parâmetro de rastreamento específico. Os visitantes regulares e os próprios administradores do site veem o site real, de modo que o comprometimento muitas vezes passa despercebido. Esse comportamento condicional é uma forma de camuflagem e é o que torna a atividade tão difícil de detectar.
Além disso, há uma segunda camada de ocultação. Os próprios domínios fraudulentos não são indexados pelos mecanismos de pesquisa. Apenas as páginas comprometidas são indexadas, de modo que a infraestrutura que realmente recebe o pagamento fica fora do alcance dos pesquisadores e do monitoramento de segurança.
Por que é eficaz e difícil de defender
A economia favorece o atacante. A tática captura o tráfego de pesquisa orgânica sem que os golpistas tenham que pagar pelos anúncios ou SEO que a classificação normalmente exige, e geralmente evita a detecção da plataforma de anúncios e o monitoramento de pesquisa padrão.
A resiliência está incorporada. As operadoras alternam domínios, marcas e conteúdo de modelos compartilhados e distribuem pagamentos entre diversas contas de comerciante, para que a operação possa sobreviver à remoção de qualquer domínio ou conta.
A abordagem monetiza alvos tradicionalmente de menor valor. Quando os fraudadores procuram sites vulneráveis e credenciais de administrador comprometidas, eles procuram sites de comércio eletrônico com páginas de checkout que possam estar infectadas com e-skimmers. Com este esquema fraudulento de compras, os fraudadores encontram uma maneira de monetizar o acesso não autorizado a sites vulneráveis e menos valiosos: blogs, páginas de pequenas empresas e sites informativos com tráfego de pesquisa constante, mas sem oportunidade de e-skimming.
A escala é real. Nos meses que antecederam o Copa do Mundoa equipe de Payment Fraud Intelligence traçou o perfil de um conjunto de atividades fraudulentas que eles chamam de AEGIR, identificando 41 domínios fraudulentos AEGIR processados por meio de três contas de comerciantes. Esses 41 domínios fraudulentos acumularam cerca de 26 milhões de visitas na web desde que os domínios foram criados e 17 milhões somente em 2026. Um hash de imagem compartilhado entre esses domínios aponta para cerca de 1.714 sites adicionais, provavelmente vinculados à mesma operação.
O ângulo da fraude de pagamento e da lavagem
O lado do pagamento é onde ocorre o dano. Os pagamentos são dispersos por várias contas de comerciante, e a incompatibilidade entre o domínio fraudulento e o domínio de processamento de pagamentos permite a lavagem de transações. As contas do comerciante parecem estar registradas com identidades comerciais mal utilizadas ou comprometidas para passar nas verificações de conhecimento do seu negócio (KYB).
Os danos ocorrem de duas maneiras: os consumidores perdem dinheiro em bens que nunca chegam e as empresas legítimas cujas identidades ou websites são afetados absorvem as reclamações e os danos à reputação.
A demanda orientada por eventos é exatamente o interesse de pesquisa de alto volume e urgente que os golpes de compra são projetados para capturar. As pessoas estão em busca de oportunidades para assistir aos jogos da Copa do Mundo e adquirir mercadorias ou conteúdo temático para assistir a festas com amigos. Eles também estão em busca de descontos.
À primeira vista, muitos dos golpes de compra relacionados à Copa do Mundo parecem muito semelhantes: sites perfeitamente representados com ofertas atraentes. Mas, abaixo da superfície, os fraudadores estão adotando abordagens diferentes para capturar as vítimas. Embora o método de manipulação de pesquisa do site comprometido atraia “pesquisadores orgânicos”, a equipe de Inteligência de Fraude de Pagamento também está observando a exploração testada e comprovada de anúncios on-line nas redes sociais para atrair um segmento separado de vítimas.
Num exemplo de segmentação baseada em anúncios online, ativa em abril e maio de 2026, a equipa de Payment Fraud Intelligence identificou 33 domínios fraudulentos com o tema do Campeonato do Mundo ligados a cerca de 2.500 anúncios online, com vários domínios a utilizar múltiplas contas de comerciantes. Isto aponta para o mesmo padrão de reutilização de contas de comerciante e rotação de domínios, que permite aos operadores substituir ou expandir domínios voltados para as vítimas, mantendo o fluxo de pagamentos através da mesma infra-estrutura.
O que isso significa para as instituições financeiras
A exposição se divide em linhas familiares. Instituições financeiras enfrentam riscos de fraude, conformidade e confiança do cliente. É difícil defender os clientes de transações fraudulentas que eles autorizam. É difícil detectar o golpe e navegar pela intervenção.
Os custos ocultos da fraude a jusante tornam a defesa ainda mais difícil para as instituições financeiras. Os operadores de campanhas fraudulentas de compras roubam regularmente os dados de cartões de pagamento de “clientes” e os revendem em mercados da dark web. Isso leva a tentativas de fraude não autorizadas, sem nenhuma ligação clara com a causa raiz: os sites fraudulentos de compra.
As assinaturas defensivas são conhecidas: comportamento de camuflagem baseado em referenciador, padrões de rotação de domínio e anomalias no descritor do comerciante. Futuro gravado Inteligência de fraude de pagamento monitora a infraestrutura subjacente do golpe e vincula as contas dos comerciantes a uma única campanha, possibilitando a detecção precoce e a interrupção antes que um evento como a Copa do Mundo transforme a demanda em perdas.
Panorama
Este é um modelo de fraude repetível e resiliente, e é provável que persista e se espalhe por mais fraudes motivadas por eventos. A Copa do Mundo de 2026 é uma meta de alto valor e de curto prazo, e a tática a ser observada já está em uso.
Veja como o Futuro Registrado Inteligência de fraude de pagamento revela essa atividade e a vincula à infraestrutura comercial por trás dela. Solicite uma demonstração.
