← Voltar ao blog
a close up of a window with a building in the background
Golpes

Golpe REF8372: anúncios falsos no Google roubam dados

Entenda como funciona o golpe REF8372, que usa anúncios patrocinados no Google para roubar senhas, cartões e dados bancários, e veja como se proteger.

RC

Rita Cavalcanti

📖 13 min de leitura

Quem usa o Google para encontrar um banco, um aplicativo de carteira digital ou até mesmo um programa de computador pode estar a um clique de um golpe sofisticado. Uma nova campanha cibercriminosa, batizada com o código técnico REF8372 por pesquisadores de cibersegurança, vem usando anúncios patrocinados que aparecem no topo das buscas para enganar usuários e roubar dados financeiros. O esquema é perigoso justamente porque se aproveita da confiança que o consumidor deposita nos primeiros resultados que aparecem na tela.

Neste guia, você vai entender como o golpe REF8372 funciona, por que ele é diferente das fraudes mais comuns, quais sinais denunciam um anúncio falso, como agir caso já tenha caído na armadilha e quais hábitos passar a adotar para navegar com mais segurança. A ideia é dar ao leitor — seja trabalhador CLT, aposentado, beneficiário do INSS ou qualquer pessoa que use internet banking — informação prática para não ter prejuízo.

O que é o golpe REF8372 e como ele funciona

O REF8372 é o nome técnico usado para identificar uma campanha coordenada de fraude digital descoberta por pesquisadores especializados em segurança da informação. Diferente de e-mails de phishing antigos, que chegavam com erros de português e endereços estranhos, esse golpe é executado dentro de um espaço onde o usuário acredita estar seguro: o próprio buscador do Google.

O fluxo do ataque costuma seguir um padrão bem desenhado. O criminoso compra um anúncio patrocinado usando o nome de um produto popular — pode ser um banco digital, um aplicativo de gestão financeira, um software conhecido ou até uma plataforma de investimentos. Quando alguém pesquisa por aquele termo, o anúncio fraudulento aparece nas primeiras posições, muitas vezes acima do site verdadeiro.

Ao clicar, a vítima é levada para uma página que imita com fidelidade o visual da empresa original: mesmo logo, mesmas cores, mesmas chamadas de download ou de cadastro. A partir daí, dois caminhos comuns são utilizados. No primeiro, o usuário baixa um instalador que parece legítimo, mas carrega um programa malicioso capaz de roubar senhas, números de cartão e cookies de sessão do navegador. No segundo, a vítima é induzida a digitar login, senha do banco, token ou dados do cartão diretamente em um formulário falso, que envia tudo para os golpistas.

O grande diferencial do REF8372 é o uso de camadas para enganar tanto o usuário quanto os filtros do próprio Google. Os criminosos costumam montar páginas intermediárias que parecem inofensivas, redirecionar o tráfego apenas para certos perfis de visitantes e usar domínios muito parecidos com os reais, trocando uma letra ou inserindo palavras adicionais. Isso aumenta o tempo de vida do anúncio antes que ele seja derrubado.

Por que os anúncios falsos no Google são tão perigosos

A fraude por anúncio patrocinado é especialmente agressiva por três motivos. O primeiro é a posição de destaque: os links pagos aparecem no topo da página, antes mesmo dos resultados orgânicos. A maior parte das pessoas clica nos primeiros itens sem perceber que ali existe a marcação 'Patrocinado' ou 'Anúncio'. Em ambientes corridos, como uma busca rápida pelo telefone, esse detalhe passa despercebido.

O segundo motivo é a sensação de legitimidade que o Google transmite. O usuário pensa: 'se está no Google, foi aprovado pelo Google'. Na prática, plataformas de anúncio funcionam por autoatendimento e os filtros automáticos não conseguem barrar todas as fraudes em tempo real. Os criminosos exploram justamente essa janela entre a publicação do anúncio e a remoção pelo sistema antifraude.

O terceiro motivo é a sofisticação visual. Páginas clonadas hoje são feitas com tecnologia que copia o site verdadeiro em poucos segundos. Sem um olhar treinado, é praticamente impossível diferenciar a versão real da falsa apenas pelo design. E quando a vítima já está com login e senha digitados, o estrago está feito.

No caso específico do REF8372, há ainda o agravante do roubo de dados financeiros. Não se trata de fraude para vender curso ou produto inexistente: o objetivo é capturar informação que dá acesso direto a contas bancárias, carteiras digitais e meios de pagamento. O prejuízo, quando ocorre, é imediato e em valores reais.

Quais dados financeiros estão na mira dos criminosos

O interesse central da campanha é o que pesquisadores de cibersegurança chamam de 'informação monetizável' — ou seja, qualquer dado que permita ao golpista tirar dinheiro da vítima ou revender esses dados em mercados ilegais. A lista é mais ampla do que muita gente imagina.

Entre os alvos mais comuns estão:

  • Senhas de acesso ao internet banking e a aplicativos de carteira digital, que dão entrada direta na conta;
  • Número completo do cartão de crédito, data de validade e código de segurança (CVV), usados em compras online;
  • Tokens e códigos de autenticação capturados em tempo real, no momento em que a vítima tenta fazer login;
  • Cookies de sessão do navegador, que permitem ao criminoso entrar na conta sem precisar nem da senha, simulando uma sessão já autenticada;
  • Dados pessoais como CPF, RG, data de nascimento e endereço, usados para tentar abrir contas em nome da vítima;
  • Carteiras de criptomoedas e chaves de acesso, que, uma vez roubadas, não têm reversão.

Vale destacar o roubo de cookies, uma técnica que tem crescido. Ao instalar um programa malicioso no computador, o golpista consegue extrair pequenos arquivos que o navegador usa para manter o usuário logado. Com eles, mesmo sem ter a senha, ele acessa serviços como se fosse a vítima. Por isso, manter o computador limpo e desconfiar de instaladores baixados fora das lojas oficiais é tão importante.

Um ponto que merece atenção especial é o público mais vulnerável: aposentados e pensionistas do INSS, beneficiários de auxílios e trabalhadores que estão começando a usar serviços digitais. Esses perfis são alvo preferencial porque, muitas vezes, têm menos familiaridade com sinais técnicos de fraude e tendem a confiar no que aparece no buscador.

Sinais de alerta para identificar um anúncio falso

Reconhecer um anúncio fraudulento não exige conhecimento técnico avançado. Alguns sinais aparecem com frequência e, juntos, formam um padrão que merece desconfiança imediata. Antes de clicar em qualquer resultado patrocinado relacionado a banco, cartão, empréstimo ou serviço financeiro, vale checar os pontos abaixo.

1. Endereço do site com letras trocadas ou palavras a mais. Golpistas costumam registrar domínios parecidos com os originais. Em vez de 'banco.com.br', pode aparecer 'banco-app.com', 'bancoonline.net' ou 'banco.com.br.login-seguro.com'. Olhe sempre para o que vem antes do primeiro '/'. Esse é o domínio real.

2. Promessas exageradas no texto do anúncio. Frases como 'libere seu crédito agora', 'aprovação garantida em 5 minutos', 'taxa zero exclusiva' ou 'saque imediato sem consulta' são usadas para apressar o clique. Bancos sérios não trabalham com esse tipo de gatilho.

3. Página que pede dados em excesso logo de cara. Se, antes mesmo de mostrar o produto, o site já pede CPF, senha, número de cartão e foto de documento, é sinal de fraude. Sites legítimos pedem informação aos poucos e dentro de áreas autenticadas.

4. Download fora da loja oficial. Quando o anúncio sugere baixar um aplicativo direto de um link, e não pela Play Store, App Store ou pelo site institucional, redobre a atenção. Esse é o vetor preferido do REF8372 para entregar programas maliciosos.

5. Erros pequenos na página. Logo levemente diferente, fonte fora do padrão, link de 'política de privacidade' que não abre, rodapé sem CNPJ ou com CNPJ que não bate com o da empresa real. Pequenos detalhes que escapam dos golpistas.

6. Ausência do cadeado ou cadeado com aviso. Um site legítimo de banco usa conexão segura (HTTPS) e o navegador exibe o cadeado sem alertas. Se aparecer aviso de 'conexão não segura' ou 'certificado inválido', saia imediatamente.

A dica de ouro é simples: nunca acesse o seu banco, cartão ou aplicativo financeiro a partir de um anúncio. Digite o endereço diretamente na barra do navegador, ou use o aplicativo já instalado no celular. Esse hábito sozinho elimina a maior parte do risco.

Como se proteger do golpe REF8372 no dia a dia

Proteção contra esse tipo de fraude é uma combinação de hábito e configuração. Não existe ferramenta única que resolva tudo, mas algumas medidas reduzem fortemente o risco de cair em campanhas como a REF8372. Vale incorporar essas práticas à rotina, principalmente para quem movimenta dinheiro pelo celular ou pelo computador todos os dias.

Acesse bancos e serviços financeiros sempre pelo aplicativo oficial. Instale uma única vez pela loja oficial do seu sistema (Play Store no Android, App Store no iPhone) e use sempre esse caminho. Evite procurar 'banco x login' no Google.

Cadastre os sites verdadeiros nos favoritos do navegador. Assim, quando precisar acessar pelo computador, você usa o atalho que sabe que é confiável, sem depender do resultado do buscador.

Ative a autenticação em duas etapas em tudo que oferecer. Mesmo que o criminoso consiga sua senha, vai precisar de um segundo código para entrar. Esse mecanismo barra grande parte dos ataques.

Mantenha o sistema operacional, o navegador e o antivírus atualizados. Atualizações corrigem brechas que programas maliciosos exploram. Adiar essas atualizações deixa o aparelho vulnerável.

Use senhas diferentes para cada serviço financeiro. Se uma vazar, as outras continuam protegidas. Um gerenciador de senhas confiável ajuda a organizar tudo sem precisar decorar.

Desconfie de pressa. Anúncios e mensagens que insistem em urgência ('aja em 5 minutos', 'última chance', 'sua conta será bloqueada hoje') são técnica clássica de manipulação. Pare, respire e cheque por outro canal.

Não instale programas vindos de pop-ups ou anúncios. Software legítimo é distribuído pelo site oficial do fabricante ou pelas lojas de aplicativos. Qualquer instalador que apareça por outro caminho merece desconfiança máxima.

Cuidado redobrado em buscas relacionadas a empréstimo e antecipação. Termos como 'empréstimo consignado', 'antecipação do FGTS', 'liberação de crédito' atraem golpistas porque o público está em busca de dinheiro. Prefira ir diretamente ao site oficial do banco, do INSS (gov.br/inss) ou do Banco Central.

O que fazer se você caiu no golpe REF8372

Mesmo com toda atenção, ninguém está totalmente livre de cair em um golpe bem-feito. Se você suspeita que clicou em um anúncio falso, digitou dados em uma página fraudulenta ou instalou um programa estranho, agir rápido faz toda a diferença para limitar o prejuízo.

Passo 1 — Desconecte o aparelho da internet. Se o golpe envolveu instalação de programa no computador ou celular, tirar o aparelho da rede impede que o malware continue enviando dados para o criminoso. Desligue o Wi-Fi e os dados móveis.

Passo 2 — Troque imediatamente todas as senhas, a partir de outro aparelho. Use um celular ou computador diferente, que não tenha sido contaminado, para alterar senha do banco, do e-mail, das redes sociais e de qualquer serviço financeiro. Comece pelo e-mail, porque ele é a porta de recuperação dos outros serviços.

Passo 3 — Avise seu banco. Ligue para o telefone oficial impresso no verso do cartão, não para números encontrados em sites suspeitos. Informe o ocorrido, peça o bloqueio de cartões e contestações de operações que você não reconheça.

Passo 4 — Registre boletim de ocorrência. O B.O. pode ser feito de forma presencial ou pela delegacia eletrônica do seu estado. Ele é importante para formalizar a fraude e, em muitos casos, é exigido por bancos e seguradoras para abrir contestação.

Passo 5 — Comunique a fraude aos órgãos competentes. Você pode registrar o caso no Procon e na plataforma consumidor.gov.br. Se houve uso indevido de dados, vale também acionar a Autoridade Nacional de Proteção de Dados (ANPD).

Passo 6 — Limpe o aparelho. Faça uma varredura com antivírus atualizado. Em casos mais graves, o ideal é formatar o equipamento e reinstalar tudo do zero, garantindo que nenhum programa malicioso continue ativo.

Passo 7 — Monitore seu CPF. Acompanhe consultas e aberturas de cadastro em seu nome por meio dos serviços oficiais de proteção ao crédito. Movimentos estranhos podem indicar que seus dados estão sendo usados em novas tentativas de fraude.

O mais importante é não ter vergonha de pedir ajuda. Quanto mais cedo o banco e as autoridades souberem, maior a chance de bloquear transferências e reverter cobranças.

Boas práticas para navegar com segurança no longo prazo

O golpe REF8372 é apenas mais um capítulo de uma tendência maior: o crime financeiro online está cada vez mais profissional. Por isso, vale incorporar uma postura de segurança como rotina, e não como reação. Algumas atitudes simples, mantidas no tempo, reduzem drasticamente a chance de virar vítima.

A primeira é educar quem está perto. Pais, avós, filhos pequenos e qualquer pessoa da família que use internet financeira precisa entender que clicar em link de anúncio não é seguro. Conversar abertamente sobre fraudes evita constrangimento depois.

A segunda é separar usos. Se possível, mantenha um aparelho ou um perfil de navegador dedicado às operações bancárias, sem instalar jogos, extensões aleatórias ou abrir links de mensagens. Essa separação física reduz a superfície de ataque.

A terceira é ler com calma os e-mails e SMS do banco. Os criminosos misturam mensagens reais com falsas, esperando que o usuário clique sem prestar atenção. Quando em dúvida, abra o aplicativo do banco diretamente — qualquer alerta importante estará lá.

A quarta é desconfiar de ofertas que chegam sem pedido. Empréstimo aprovado que você não solicitou, cartão pré-aprovado que veio por link, antecipação 'exclusiva' por WhatsApp: tudo isso pode ser fachada para coletar dados.

A quinta é checar a fonte regulatória. Informações sobre INSS, FGTS, empréstimo consignado e benefícios devem ser confirmadas em canais oficiais do governo (gov.br) ou da instituição financeira. De modo geral, contratações de crédito legítimas seguem regras claras e não exigem pagamento antecipado ou depósito 'de liberação' por parte do consumidor.

A sexta é manter cópia de segurança dos dados importantes. Em caso de invasão, ter backup recente de documentos e fotos diminui muito o impacto.

Conclusão: atenção curta, proteção longa

O golpe REF8372 mostra que a fronteira entre um anúncio comum e uma armadilha sofisticada está cada vez mais fina. Os criminosos investem tempo, dinheiro e tecnologia para parecer legítimos justamente nos canais em que o usuário menos espera fraude — como um simples resultado de busca.

A boa notícia é que a defesa não exige nada além de bons hábitos: acessar serviços financeiros sempre por aplicativos oficiais e endereços salvos, ativar dupla autenticação, desconfiar de pressa, evitar instaladores fora das lojas oficiais e checar com calma o endereço dos sites. Se a desconfiança vier antes do clique, o golpe morre ali.

E se algo der errado, a regra é agir rápido: desconectar o aparelho, trocar senhas por outro dispositivo, avisar o banco, registrar boletim de ocorrência e limpar o equipamento. Tempo é o principal aliado do criminoso — e também da vítima que reage.

Proteger dinheiro hoje é, em grande parte, proteger informação. Quem incorpora essa lógica reduz não só o risco do REF8372, mas o de todas as próximas campanhas que certamente virão.

Referências

  • Elastic Security Labs — relatório sobre a campanha REF8372.
  • Seu Crédito Digital — orientações de proteção contra golpes envolvendo anúncios falsos no Google e fraudes financeiras digitais.
Compartilhar:WhatsAppFacebookXLinkedInTelegramE-mail

Comentários (0)

Ainda não há comentários. Seja o primeiro a comentar!

Deixe seu comentário

📩 Gostou? Receba mais como este

Novidades sobre consignado e FGTS toda semana.