Criminosos passaram a explorar o novo sistema de pedágio free flow no estado de São Paulo para aplicar golpes em motoristas. A fraude envolvia a criação de um site falso de pagamento de pedágio, que aparecia como primeiro resultado patrocinado nas buscas do Google e apresentava valores abusivos após a vítima informar a placa do veículo.
O esquema utilizava o abuso do Google Ads para promover páginas de phishing, direcionando usuários a um ambiente fraudulento com aparência legítima. Procurado, o Google informou, por meio de nota, que possui políticas rigorosas para anúncios na plataforma e que proíbe práticas enganosas. Segundo a empresa, em 2024, 201 milhões de anúncios foram removidos e 1,3 milhão de contas de anunciantes foram suspensas no Brasil, conforme o Relatório de Segurança em Anúncios. A companhia também destacou a existência de ferramentas para denúncia de violações por parte dos usuários.
Como funcionava o golpe
O site fraudulento aparecia como resultado patrocinado nas páginas de busca, o que aumentava sua visibilidade e transmitia falsa credibilidade. Ao acessar a página, o usuário era induzido a inserir a placa do veículo e aceitar termos de uso e política de privacidade supostamente ligados ao sistema de pedágio.
Após o preenchimento, a plataforma exibia informações detalhadas do automóvel — como marca, modelo, ano, cor e chassi — além de um valor que o motorista supostamente deveria pagar. Para criar senso de urgência, o site estabelecia prazos curtos e ameaçava encaminhar a infração ao Detran, mencionando inclusive a penalidade prevista em lei para evasão de pedágio, com multa de R$ 195,23 e cinco pontos na CNH.
A fraude combinava técnicas avançadas, como manipulação de SEO, engenharia social e phishing, ao imitar páginas governamentais, além do uso de dados reais de veículos para aumentar a credibilidade do golpe.
Vazamento de dados do Detran ampliou riscos
Em novembro de 2024, um vazamento no Sistema de Certificação de Segurança Veicular (SisCSV), utilizado pelo Detran, expôs dados pessoais e veiculares de cerca de 33 milhões de motoristas em todo o país. O incidente foi denunciado ao TecMundo e confirmado pelo Serpro.
Entre as informações comprometidas estavam nome completo, CPF, endereço, Renavam, placas, modelo, cor e fotos dos veículos, além de dados sobre vistorias. A falha ocorreu devido à ausência de autenticação em dois fatores, permitindo que criminosos utilizassem credenciais vazadas de funcionários para acessar o sistema.
Esse tipo de ataque, conhecido como credential stuffing, possibilitou a extração e comercialização dos dados em painéis clandestinos, onde informações pessoais eram vendidas por valores entre R$ 10 e R$ 200, facilitando a aplicação de golpes direcionados.
Site foi retirado do ar
O site fraudulento explorou a falta de informações públicas sobre o novo modelo de pedágio free flow, aplicando golpes antes mesmo da cobrança entrar em vigor, o que ocorreu em 6 de dezembro. Após ser identificado e marcado como suspeito, o endereço foi retirado do ar.
Como se proteger de golpes de pedágio
Para evitar cair nesse tipo de fraude, especialistas recomendam algumas medidas de segurança:
-
Acesse apenas sites oficiais: evite clicar em anúncios patrocinados para serviços públicos. Prefira digitar o endereço diretamente no navegador. Sites governamentais legítimos utilizam o domínio .gov.br;
-
Verifique a URL com atenção: desconfie de domínios similares aos oficiais e de endereços longos ou com caracteres incomuns;
-
Cuidado com o senso de urgência: ameaças de multa e prazos curtos são estratégias comuns de golpe. Confirme sempre as informações nos canais oficiais;
-
Não forneça dados sem checar a origem: golpistas usam dados reais para dar credibilidade à fraude;
-
Monitore seus dados pessoais: utilize ferramentas como o Registrato, do Banco Central, e acompanhe movimentações financeiras;
-
Confirme pelos canais oficiais: em caso de dúvida, entre em contato diretamente com o concessionário do pedágio ou com o Detran por meios oficiais, evitando contatos indicados em sites suspeitos.
