Especialistas explicam os riscos técnicos envolvidos no recebimento de acessórios eletrônicos modificados e QR Codes invasivos
O alerta divulgado pelo advogado Inan Kaleu traz uma orientação necessária sobre uma modalidade de fraude que mistura engenharia social com espionagem de hardware: o Golpe da Encomenda Inesperada (associado internacionalmente a práticas de Brushing e Juice Jacking modificado).
Diferente dos golpes puramente virtuais (como links falsos de WhatsApp), esta modalidade utiliza uma estrutura física real (entregas via Correios ou transportadoras) para quebrar a desconfiança da vítima e introduzir um “Cavalo de Troia” diretamente na residência do cidadão.
Como funciona a engenharia de ataque dos criminosos
O golpe se desenvolve em um ciclo projetado para explorar a curiosidade ou o sentimento de “brinde/vantagem” da vítima, dividindo-se em duas principais frentes de risco:
1. O Perigo Físico: O Carregador Espião (Hardware Adulterado)
Conectar um carregador de celular ou cabo USB de origem desconhecida vai muito além do risco de queimar o aparelho por problemas de voltagem. Criminosos têm acesso a microchips miniaturizados que são soldados clandestinamente dentro de carcaças de carregadores de tomada comuns ou conectores de cabos.
Quando o usuário pluga esse carregador adulterado no celular, o microchip oculto é energizado e simula ser uma interface de comando (como se um teclado ou computador invisível estivesse sendo conectado). Esse ataque é conhecido no meio da segurança da informação como BadUSB ou Juice Jacking. A partir desse momento, o acessório consegue:
- Abrir o navegador em segundo plano e baixar aplicativos maliciosos (malwares);
- Clonar e espelhar a tela do celular para capturar senhas bancárias e mensagens;
- Executar rotinas automáticas de extração de arquivos e fotos.
E as pilhas? Embora pilhas comuns não transmitam dados, o envio de pilhas ou objetos de baixo valor serve como “isca” visual na caixa para desviar a atenção do real perigo (o cabo ou o QR Code) ou para inflar o volume da entrega, fazendo a vítima acreditar que se trata de um erro logístico inocente da transportadora.
2. O Perigo Virtual: O QR Code de Entrega Falsa
A presença de um QR Code impresso na etiqueta da caixa ou em um panfleto interno simulando ser uma “confirmação de recebimento” ou “vocalização de cupom de desconto” é a porta de entrada para o phishing (pesca de dados).
Ao ler o código com a câmera do celular, o usuário é direcionado para servidores controlados por golpistas que realizam o exploit (aproveitamento de falhas) do navegador de internet do celular, forçando o download de pacotes de instalação que infectam o sistema operacional.
Guia de Proteção: Como agir ao receber pacotes suspeitos
Caso você ou algum familiar receba uma encomenda que não foi comprada e cujo remetente seja desconhecido ou duvidoso, adote imediatamente o protocolo de segurança detalhado pelo advogado Inan Kaleu:
- Veto Total ao Uso: Jamais, sob hipótese alguma, plugue os carregadores ou cabos recebidos em tomadas da sua casa e, principalmente, no seu celular ou computador.
- Isole o QR Code: Não aponte a câmera do celular para o código da embalagem. Se precisar tirar foto da caixa para registrar o ocorrido, cubra o QR Code com o dedo ou uma fita isolante antes.
- Verifique seus Aplicativos de Compra: Acesse suas contas oficiais (Mercado Livre, Amazon, Shopee, AliExpress) diretamente pelos aplicativos instalados no seu celular e cheque o histórico de pedidos e rastreamentos para confirmar se não foi um envio legítimo de algum conhecido ou compra esquecida.
- Fale com os Correios: Se a etiqueta for oficial da estatal, leve o pacote lacrado até uma agência para informar a entrega indevida e solicitar a apuração do remetente (evitando que seu endereço continue em bancos de dados de fraudadores).
- Registre um BO Eletrônico: Faça o registro de um Boletim de Ocorrência na Delegacia Eletrônica da Polícia Civil sob a tipificação de preservação de direito ou tentativa de estelionato/fraude eletrônica, anexando fotos da caixa e os dados do remetente.
Resumo Técnico dos Riscos
| Elemento Recebido | Tipo de Ameaça | Consequência Prática |
| Carregador / Cabo USB | Ataque de Hardware (BadUSB / Juice Jacking) | Instalação automática de vírus e clonagem de dados via conector. |
| QR Code na Caixa | Phishing direcionado por Engenharia Social | Redirecionamento para sites falsos clonadores de senhas ou download de arquivos maliciosos. |
| Acessórios de Baixo Custo | Isca Logística / Técnica de Brushing | Legitimação visual da fraude ou envio em massa para ranquear perfis falsos de vendedores em e-commerce. |
Descarte os eletrônicos suspeitos em postos de coleta de lixo eletrônico autorizados e oriente funcionários, porteiros e parentes idosos a nunca aceitarem ou utilizarem brindes tecnológicos que cheguem sem aviso prévio.
