Golpistas incluem código de rastreio da Amazon e dados pessoais em novo ataque de phishing

Relatos de consumidores revelam que o chamado “Golpe da Encomenda” ganhou sofisticação em agosto de 2025. Criminosos passaram a usar nome, CPF, e-mail, endereço completo e até um código de rastreio real da Amazon para cobrar falsas taxas de liberação de produtos.
Como o esquema funciona
A abordagem ocorre pelo WhatsApp. Os golpistas se apresentam como transportadoras parceiras da Amazon, alegam que a Receita Federal tributou a compra internacional do cliente e exigem pagamento imediato para liberar a entrega. As mensagens trazem descrição do item adquirido e o percurso verdadeiro da remessa, aumentando a credibilidade da fraude.
Dados obtidos rapidamente
Em um caso reportado ao TecMundo, a vítima foi contatada menos de 24 horas após a primeira movimentação da encomenda:
- 5 de agosto – compra realizada;
- 6 de agosto, 17h33 – início do rastreio registrado na Amazon;
- 7 de agosto, 6h59 – primeira mensagem fraudulenta enviada;
- 14 de agosto, 4h37 – segunda abordagem pelo WhatsApp;
- 14 de agosto, 12h52 – produto saiu para entrega.
Amazon se posiciona
Procurada, a Amazon declarou que a segurança dos clientes é prioridade e destacou que não solicita pagamentos fora de seu site. A companhia afirma colaborar com autoridades brasileiras e recomenda que consumidores ignorem links suspeitos e verifiquem pedidos apenas pela conta oficial.
Possível origem do vazamento
Especialistas em cibersegurança levantam a hipótese de ameaça interna. O analista Renato Borbolla avalia que funcionários de alguma empresa envolvida na cadeia logística podem ter repassado informações, pois o conjunto de dados vazados se restringe ao necessário para a tentativa de cobrança.
Usuários também apontam transportadoras como possível fonte do problema. No X (antigo Twitter), internautas mencionaram variações deliberadas em endereços para identificar onde os dados teriam sido capturados, citando a Loggi e o sistema Melhor Envio, mas sem confirmação oficial.

O que diz a LGPD
A Lei Geral de Proteção de Dados exige que empresas comuniquem incidentes de segurança à Autoridade Nacional de Proteção de Dados e aos clientes afetados. Caso haja prova de vazamento, podem ser aplicadas advertências, multas ou restrições de uso de dados.
Como o consumidor pode se proteger
- Desconfie de cobranças extras recebidas fora dos canais oficiais;
- Cheque o endereço de links antes de clicar;
- Não forneça dados pessoais por mensagens;
- Use autenticação em dois fatores e mantenha antivírus atualizado.
Para acompanhar outras atualizações sobre golpes digitais e medidas de segurança, visite nossa editoria de notícias e mantenha-se informado.
Fique atento a mensagens suspeitas e, em caso de dúvida, confirme diretamente no site da loja onde a compra foi realizada.
Com informações de TecMundo