Análise do Golpe da CNH com pendência

Por /

Resumo

O golpe da CNH com pendência voltou a circular com força e tem enganado motoristas em todo o Brasil. Criminosos estão enviando mensagens falsas por SMS, WhatsApp e e-mail, alertando sobre uma suposta suspensão da Carteira Nacional de Habilitação (CNH) ou multas não pagas, para induzir a vítima a clicar em links falsos.

No golpe, a mensagem leva a um site fraudulento que imita os portais oficiais do Detran ou do Governo Federal. Lá, o usuário é orientado a preencher dados pessoais e, em muitos casos, realizar o pagamento de uma suposta taxa via Pix ou boleto. Todo o valor vai direto para os criminosos, além de os dados coletados poderem ser usados em futuras fraudes e roubos de identidade.

O ponto de partida

Tudo começa com o recebimento de uma mensagem, seja por SMS, WhatsApp ou e-mail, que de forma alarmante, informa a suposta pendência na CNH do cidadão.

Analisando o link

O link recebido foi verificado em dois sites: Virus Total e Nord VPN. Nenhum dos dois detectou qualquer problema.

Consulta Virus Total
Consulta Nord VPN

Porém, na análise no virus total, nota-se que há um redirecionamento para uma outra página (a página fake utilizada no golpe – detran[.]dtrncdt[.]site). Esse redirecionamento foi verificado ainda em outro site.

Redirecionamento verificado no Virus Total
Confirmação do redirecionamento

Análise do link oriundo do redirecionamento

Nos mesmos sites, o novo link foi verificado e, novamente, não houve problemas conhecidos (até o momento da análise).

Consulta Virus Total
Consulta Nord VPN

Consulta dos endereços IP das páginas

Cada página possui um endereço IP, que foi analisado no site AbuseIPDB, que mostra a reputação dos endereços através da colaboração dos usuários.

O resultado das consultas são nossas primeiras evidências. Os dois endereços IP já tinham relatos de abuso por diversos motivos diferentes.

Consulta do IP 104.21.69.32 no AbuseIPDB
Consulta do IP 172.67.203.153 no AbuseIPDB

Prosseguindo com o golpe

Ao acessar o link recebido via SMS (http://alft[.]kids), como esperado, somos direcionados ao link final (https://detran[.]dtrncdt[.]site).

A página simula um site de consulta da Carteira Digital de Trânsito (CDT), pedindo dados pessoais válidos (CPF e telefone).

Inserção de dados no site falso

Depois de inserir os dados, o site faz uma consulta em uma base de dados válida e simula uma outra consulta nas supostas pendências. É nessa hora que a vítima se deixa levar pelo apelo e senso de urgência dos dados mostrados.

Note que os dados da vítima são mostrados, o que pode trazer alguma credibilidade e enganar as pessoas com menos atenção, que logo se apressa para “regular as infrações”.

Após isso, é gerado até um número de infração e mais uma mensagem de urgência, que informa que o pagamento deve ser feito na data corrente ou serão aplicadas as penalidades previstas.

Senso de urgência na mensagem

A vítima é induzida a fazer o pagamento via PIX, com o código gerado. Veja que não há nenhuma outra forma de pagamento, apenas o PIX.

Pronto. Se o usuário chegou até aqui e realizou o pagamento, o golpe obteve sucesso.

Verificando os dados do PIX

Simulando o pagamento do código PIX, podemos obeservar que os golpistas utilizam detalhes que passam despercebidos pelas pessoas menos alertas.

Simulação de pagamento

Temos o CNPJ e o detalhe que pode enganar facilmente: o nome “LINX” é o mesmo que uma famosa empresa de pagamentos.

Analisando o CNPJ, podemos ver que é uma empresa com pouco mais de um mês de criação, os dados de localização e sócios. Provavelmente, os nomes são oriundos de dados roubados.

Dados de CNPJ

Lembra da empresa “LINX”, a verdadeira? Acessando o site vemos o seguinte comunicado:

Problema recorrente

Esse é um golpe já conhecido, é provável que quando essa análise for ao ar, o site não esteja nem mais ativo. Mas com uma simples busca no Google, vemos páginas parecidas, com o mesmo intuito e modus operandis.

Pessoas continuam sendo vítimas

Apesar dos esforços da comunidade na conscientização contra esse tipo de crime, pessoas continuam caindo nesse e em outros golpes online.

Com outra busca no google, com o nome da empresa falsa, vemos em um pequeno intervalo um bom número de reclamações.

Como se proteger

  • Desconfie de mensagens com alertas urgentes sobre sua CNH.
  • Nunca clique em links recebidos por SMS, WhatsApp ou e-mail.
  • Acesse sempre o site oficial do Detran estadual digitando o endereço manualmente no navegador.
  • Não compartilhe dados pessoais sem confirmar a veracidade da solicitação.
  • Utilize antivírus atualizado e autenticação de dois fatores em seus dispositivos.

Fique atento: o Detran não envia links ou solicita pagamentos por mensagens diretas. Ao receber comunicações suspeitas, reporte o golpe e ajude outras pessoas a não caírem na mesma armadilha.

NOTA: Essa análise foi feita em ambiente seguro e controlado. Caso receba uma mensagem suspeita e não se sentir seguro(a) em fazer essas verificações, delete a mensagem.

Caso, ainda sim, queira saber a origem, reporte para Proteção na Web. Siga os passos aqui.

Este artigo também está disponível no Medium.

Rolar para cima