MINHA ENCOMENDA FOI TAXADA | Cuidado com o Golpe do SMS dos Correios | E-Golpes em épocas festivas

Exemplo de SMS Criminoso

vamos ao cenário real: você fez uma compra online e espera ansiosamente por ela. Você conta os dias e as horas para a encomenda chegar, torcendo para que seja entregue antes da troca de presentes de Natal, do amigo invisível ou de qualquer outro evento de fim de ano. De repente você recebe um SMS, email, ou até uma mensagem no whatsapp, com o seguinte texto: "Sua entrega foi suspensa. Taxa pendente. Pague agora para não perder o produto, acesse o link para pagar a taxa". Você se assusta e desesperado clica no link; você cometeu o primeiro erro.

Mas o problema não para no clique. Ao entrar no site falso, que é um clone do site oficial, você, na ânsia de resolver logo o problema, comete o segundo error: preenche seu CPF, nome completo, senha do Gov.br, dados do cartão de crédito. Sem saber, você acabou de entregar seus dados de bandeja para criminosos, antes mesmo de perder seu dinheiro.

Atenção!

Os Correios não enviam mensagens com links diretos para pagamento nem solicitam dados pessoais ou financeiros por e-mail, SMS ou WhatsApp.
As comunicações oficiais ocorrem:

• Por SMS, apenas para informar sobre a pendência de informações ou a necessidade de pagamento de taxas de objetos internacionais, orientando o cliente a acessar os canais oficiais (site ou aplicativo) para concluir o pagamento.
• Por e-mail marketing, sempre a partir do endereço contatodigital@correios.com.br, com novidades sobre canais digitais, produtos, serviços e promoções exclusivas.

Desconfie de mensagens que prometem desbloqueio de objetos ou cobram taxas por links externos.
Para consultar informações sobre sua encomenda ou efetuar pagamentos, acesse diretamente os canais oficiais dos Correios pelo navegador ou pelo aplicativo, nunca por links recebidos.

Disponivel no site oficial dos correios (www.correios.com.br)

1. O que é Smishing? Entenda a armadilha por trás do SMS

Exemplo de SMS Criminoso

Você provavelmente já ouviu falar em Phishing. O termo vem do inglês "Fishing" (Pescaria). A lógica é simples: o criminoso joga uma "isca" digital (um e-mail falso, uma promoção imperdível) e espera que o usuário (o peixe) morda o anzol.

Mas no golpe da encomenda de Natal, a tática é mais específica. Estamos falando de Smishing (SMS + Phishing).

1.2 Por que o Smishing é tão perigoso? 

Diferente do e-mail, que temos o hábito de ignorar ou que cai na caixa de Spam, o SMS tem uma taxa de leitura quase imediata. O celular vibra no seu bolso, você olha. É automático.

Além disso, os golpistas de 2025 não usam mais apenas números de celular comuns (como DDD 11 99999...). Eles utilizam serviços que mascaram o remetente ou contratam Short Codes (aqueles números curtos de 5 dígitos, como "28500"), que geralmente são usados por bancos e empresas sérias. Isso faz com que o cérebro da vítima pense: "Se veio de um número curto, deve ser oficial" — e é aí que a Engenharia Social vence.

1.3 A Engenharia Social do Fim de Ano 

O ataque não é no sistema dos Correios, o ataque é na sua mente. Eles sabem que nesta época do ano:

1. O volume de encomendas triplica.

2. As pessoas estão ansiosas.

3. O medo de ter um presente barrado supera a racionalidade de checar a fonte.

Eles exploram o gatilho da urgência. Note que a mensagem nunca diz "Verifique sua encomenda". Ela diz "Sua encomenda será DEVOLVIDA/SUSPENSA". O medo da perda faz você clicar sem pensar.

2. Não confie nos seus olhos: Como desmascarar o site falso em segundos

Aqui cometemos o maior erro de julgamento. Ao abrir o link do SMS, você vê o logotipo azul e amarelo dos Correios, as fontes oficiais, o layout do portal "Minhas Importações" e pensa: "Ufa, é o site oficial".

Cuidado. Hoje em dia, copiar o visual (o design) de um site leva poucos minutos para um criminoso. Podendo ser usado IA ou mesmo comprando web designs pré-prontos. O site falso é visualmente idêntico ao original.

2.1 A URL (A Barra de Endereço)

 site oficial dos Correios termina, obrigatoriamente, em .com.br. O site de pagamentos do governo usa .gov.br.

Os golpistas registram domínios baratos e confusos para enganar sua leitura rápida. Fique atento a finais como:

• .online (Ex: correios-taxa.online)

• .site (Ex: rastreio-gov.site)

• .xyz

• .club

Se o endereço tiver traços (-) separando palavras estranhas como "pendência-taxa-sedex", feche a aba. É golpe. Ainda sim podem ser usado domínios que podem não levantar suspeitas ou que aparentam ser oficiais como o caso do ".com"  utilizando uma combinação mais "limpa" como no caso do site que irei analisar a seguir.  

2.2 Encurtadores de Link 

Podem ser usados encurtadores de links que escondem o link real, exemplos comuns são:

bits.ly, ow.ly, t.co, t.me, tinyurl.com

Veja está excelente analise da Kapersky:

"Os cibercriminosos também podem usar ferramentas de redução de links para alterar o endereço de destino conforme a necessidade. Digamos que alguns invasores compraram um banco de dados de milhões de endereços de e-mail e o usaram para enviar mensagens de phishing com algum tipo de link. Mas aqui está o problema (para os invasores): o site de phishing que eles criaram foi rapidamente descoberto e bloqueado. Hospedá-lo novamente em um endereço diferente não é um problema, mas eles teriam que reenviar todas as mensagens de phishing.

A solução é usar um serviço de “shimming” que possibilita alterar rapidamente o URL para onde os usuários serão levados. E o papel dos “shims” aqui pode ser desempenhado por encurtador de URL, incluindo aqueles originalmente criados com intenções duvidosas.

Com essa abordagem, um link para o serviço de shimming é adicionado ao e-mail de phishing, que redireciona as vítimas para o site dos phishers em seu endereço ativo no momento. Muitas vezes, vários redirecionamentos são usados para turvar ainda mais o caminho. E se o site de phishing de destino for bloqueado, os cibercriminosos simplesmente o hospedam em um novo endereço, alteram o link no shim e o ataque continua."

 

3. Como analisar um link de maneira segura? Ferramentas gratuitas e seguras para analise.

3.1 Browserling

Caso você queira de fato acessar o link (o que não recomendo) você pode usar um site interessante para isso: o browserling, você pode acessar links sem que sua máquina real seja exposta a quem administra o site. Para saber como usar acesse meu Post que aborda sobre essa ferramenta.

Vamos ver na prática!

Na imagem abaixo eu utilizo a ferramenta e acesso o site suspeito utilizando uma maquina virtual disponibilizado pela ferramenta, que simula um celular, já que, curiosamente o site suspeito bloqueia o acesso via PC.

Já dentro so site é pedido que seja inserido um CPF e um CEP.

Agora algo comico acontece, ao inserir as "informações" (Números aleatorios falsos) ele mostra que "minha encomenda" foi encontrada. Uma série de erros de programação e design estão presentes, como é possível ver na imagem.

Apesar de clicar no "Sim, sou" ele não vai para lugar algum, não sei se o objetivo do site é capturar CPF e CEPS ou se ele está sendo indexado a campanhas de smshing e phishing.

3.1 Virus Total

VirusTotal 

O Virus Total é uma plataforma online, adquirida pelo Google em 2012, que permite verificar arquivos e URLs em busca de vírus e malwares. Com uma interface simples, os usuários podem enviar arquivos suspeitos e obter análises de múltiplos antivírus simultaneamente, aumentando as chances de identificação de ameaças. Além disso, a ferramenta oferece uma verificação de links, ajudando a reconhecer sites fraudulentos. O VirusTotal também incentiva a colaboração, permitindo que os usuários compartilhem informações sobre arquivos e URLs, e disponibiliza uma API para desenvolvedores que desejam integrar suas funcionalidades em outras aplicações. É uma ferramenta essencial para quem busca proteção na segurança digital.

Vamos a prática:

Utilizando o virus total verifiquei que o site analisado havia sido "flegado" por mais de 10 sites. A maior parte categorizou o site como "Phishing". É possível notar que o site já havia sido analisado por algum usuário a 1 mês atrás.

Agora fazendo a mesma análise no site real dos correios o resultado é bem diferente, como você pode ver na imagem abaixo. Alguém também já havia analisado o site a 19 dias atrás. 

Site oficial dos correios (www.correios.com.br)

3.2 WHO.IS & registro.br

O Who.is é uma ferramenta online que permite consultar informações sobre domínios da internet, como dados de registro, propriedade e status. Ao acessar o site, os usuários podem descobrir quem é o proprietário de um determinado domínio, as datas de registro e expiração, além dos servidores de nome (DNS) associados. Com uma interface fácil de usar, o Who.is é ideal para profissionais de marketing, webmasters e entusiastas de tecnologia que desejam entender melhor a propriedade de um site ou investigar a concorrência. Essa ferramenta é fundamental para qualquer pessoa interessada em obter informações detalhadas sobre a presença online de marcas, empresas ou indivíduos.

O site "registro.br" também conta com essa ferramenta podendo ser verificadas informações de registro de sites que terminem com ".br".

Vamos a prática

Utilizando o who.is descobrir algo interessante o site suspeito foi recentemente registrado [08/09/2025]

(O site está em inglês então ele mostra as datas no formato US) 

A diferença é extrema quando comparamos o site real dos correios:

Nesse caso usei a ferramenta who.is do "registro.br". 

Com pode ser observado esse domínio do site oficial dos correios foi registrado em 1997.

Este é um comunicado do próprio correio dando dicas de como evitar cair em golpes envolvendo o nome da instituição:

1.Confira o e-mail e o nome do remetente

Atenção aos nossos canais de comunicação: só enviamos e-mails do domínio @correios.com.br. Sempre verifique o endereço de e-mail do remetente para garantir que seja legítimo antes de clicar em qualquer link ou fornecer informações pessoais.

2.Cautela com links

Não clique nos links no corpo do e-mail em nenhuma hipótese. Caso esteja realmente esperando uma encomenda, entre no site oficial dos Correios e confira o rastreamento do produto.

3.Desconfie de mensagens urgentes

Sites ou e-mails de phishing chegam com uma mensagem inesperada e surpreendente. Esteja atento e desconfie de mensagens que solicitam informações confidenciais, especialmente se ameaçarem consequências negativas se você não agir imediatamente.

4. Atualização constante

Mantenha aplicativos e softwares de rastreamento de vírus atualizados para se proteger contra novas ameaças. Esses programas fazem uma varredura periódica e eliminam os arquivos danosos ao computador.

Conclusão

Atue com a mentalidade "Zero-Trust" e nunca clique em nenhum link enviado a você por SMS ou E-mail, Whatsapp etc.  A não ser que você tenha total certeza, depois de fazer o processo de análise que mostrei acima, de que o link leva você a um site oficial. Se você caiu no golpe você pode registrar um boletim de ocorrência na polícia civil que dependendo do estado pode ser feito online.

A verdade é que provavelmente você não verá mais seu dinheiro, pois a policia dificilmente irá investigar um "caso isolado". O mais provável de acontecer é que a partir de varias denuncias se inicie uma investigação o qual o seu boletim de ocorrência pode ajudar de alguma maneira.

Aqui estão alguns links úteis:

• https://www.correios.com.br/central-de-informacoes/boletim-aos-clientes/comunicado-02-2024-alerta-sobre-golpes-digitais-e-falsos-e-mails
• https://www.correios.com.br/falecomoscorreios/seguranca
• https://g1.globo.com/fato-ou-fake/noticia/2025/08/18/e-fake-mensagem-de-whatsapp-que-se-passa-pelos-correios-e-cobra-taxa-para-liberar-encomenda-trata-se-de-golpe.ghtml
• https://www.correios.com.br/falecomoscorreios/canais-de-denuncia