Logo TecMundo
Segurança

Golpistas usam PDFs e SMS para roubar dinheiro de usuários

Campanhas de phishing distribuem PDFs maliciosos por mensagens de texto imitando PayPal e pedágio de Massachusetts; janela de 3 dias deixa usuários expostos

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule18/12/2025, às 18:30

updateAtualizado em 29/01/2026, às 09:03

Pesquisadores da Zimperium identificaram duas campanhas de phishing que usam nomes do PayPal e do EZDriveMA, sistema eletrônico de pedágio de Massachusetts, para roubar credenciais e dados financeiros de usuários móveis. Os ataques distribuem PDFs maliciosos por SMS e MMS, explorando a confiança que usuários depositam em mensagens de texto e a aparência legítima de documentos.

Entre fevereiro e abril de 2025, a campanha direcionada ao EZDriveMA gerou aproximadamente 2.145 domínios maliciosos em rápida sucessão. A que imita o PayPal combina phishing digital com vishing (phishing por voz), oferecendo dois vetores simultâneos de ataque. Em ambos os casos, soluções de segurança tradicionais levaram até 27 horas a mais que sistemas de inteligência artificial embarcados para detectar as ameaças.

smart_display

Nossos vídeos em destaque

EZDriveMA: pedágios falsos e infraestrutura rotativa

O golpe direcionado ao sistema de pedágio de Massachusetts começa com uma mensagem de texto contendo um PDF anexado que imita uma notificação oficial de pedágio não pago. O documento usa logos, formatação profissional e linguagem formal para parecer legítimo. Dentro do PDF, há um link que direciona a vítima para um site falso onde credenciais de login, dados pessoais e informações bancárias são capturadas.

O que diferencia esta campanha é a escala e velocidade de criação de infraestrutura maliciosa. Entre fevereiro e abril, atacantes geraram aproximadamente 2.145 domínios em dois meses, concentrados nos TLDs .xin, .top e .vip. A análise de padrões revela uso de algoritmos de geração de domínios (DGA). Dois prefixos dominam: "paytoll" responde por 74,7% dos registros, e "ezdrivema-com" por 11,8%. Combinados, representam 86% do dataset.

Leia Mais
Domo de Ferro: cibercriminosos alegam ter desativado defesa aérea de Israel

A velocidade de rotação torna listas de bloqueio tradicionais ineficazes. Quando um domínio é identificado e bloqueado, dezenas de novos já estão ativos. A estratégia permite que atacantes mantenham campanhas ativas por períodos prolongados sem interrupção significativa.

O EZDriveMA serve como alvo atraente devido à sua grande base de usuários e à confiança que motoristas depositam em notificações de pedágio. A ameaça de multas e penalidades cria urgência que facilita a manipulação.

Campanha PayPal: duplo vetor e engenharia social

A campanha que imita o PayPal adota abordagem mais sofisticada. O PDF simula uma fatura de compra de Bitcoin no valor de US$ 480,11 — uma transação que a vítima não realizou. O documento cria urgência ao sugerir que o usuário precisa cancelar a cobrança imediatamente. Para isso, oferece duas opções: clicar em um link para "chat ao vivo" ou ligar para um número de suporte.

Ambas as opções são armadilhas. O link redireciona para uma página falsa que coleta nome e email, dados que podem ser usados em ataques subsequentes ou vendidos em mercados criminosos. O número de telefone conecta a vítima com golpistas que aplicam engenharia social em tempo real para extrair credenciais completas, detalhes de cartão de crédito e até contornar autenticação de dois fatores através de manipulação psicológica.

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético

A infraestrutura técnica revela camadas de ofuscação. O vetor digital usa o serviço de encurtamento urlzs[.]com para mascarar o destino real. O link redireciona para um endereço IP direto (146[.]70[.]41[.]215) na porta não-padrão 81. Essa combinação contorna filtros baseados em reputação de domínios e regras de firewall que monitoram apenas portas HTTP/HTTPS convencionais.

O script server-side (.aspx) inclui parâmetro de rastreamento individual (linkid), permitindo que atacantes mapeiem cada vítima e meçam taxas de conversão da campanha.

O vetor de voz usa linha VoIP da operadora ONVOY, LLC — infraestrutura frequentemente associada às operações de call center descartáveis. O número apresentou pontuação alta em análises de risco de fraude.

O que torna esses ataques particularmente eficazes é a combinação de urgência, aparência profissional e o canal de distribuição. Mensagens de texto são visualizadas rapidamente, usuários confiam mais em comunicações recebidas no celular, e telas pequenas dificultam a inspeção cuidadosa de links antes de clicar.

Leia Mais
149 ataques em quatro dias: como a guerra contra o Irã se tornou também digital

Lacuna crítica de detecção

O relatório comparou tempos de detecção entre sistemas de IA embarcados e bases de dados públicas de phishing. A diferença chegou a três dias em alguns casos.

A comparação envolveu dois tipos de detecção. No lado do cliente, a IA instalada no dispositivo analisa links em tempo real quando o usuário tenta acessá-los, identificando padrões maliciosos mesmo em domínios completamente novos. No lado do backend, sistemas monitoram a internet em busca de domínios recém-criados e os classificam proativamente antes que qualquer vítima os acesse. Ambas as abordagens identificam ameaças por comportamento e padrões, não por listas de sites conhecidos.

Bases de dados públicas de phishing, por outro lado, funcionam como listas negras compartilhadas pela indústria de segurança. Dependem de processo reativo: alguém precisa cair no golpe e reportar, empresas analisam manualmente, adicionam o domínio à lista, e então distribuem a atualização. Esse ciclo leva tempo.

No lado do cliente, detecções comportamentais diretas no dispositivo identificaram domínios como paytollgbju[.]xin três dias antes de aparecerem em listas de terceiros. Casos com janelas menores ainda registraram vantagens de 6 a 7 horas.

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce

No lado do backend, sistemas proativos de análise de novos domínios detectaram paytollafn[.]top com 2 dias e 19 horas de antecedência. A menor diferença registrada foi de 4 horas e 24 minutos.

Durante essas janelas, usuários dependentes de soluções tradicionais permanecem expostos. Atacantes operam sem oposição, coletando credenciais e dados financeiros de vítimas que interagem com domínios ainda não catalogados como maliciosos.

Por que PDFs como os vetores de campanhas?

PDFs apresentam vantagens técnicas e psicológicas para atacantes. Isso porque, do lado técnico, a estrutura binária e o suporte a múltiplos esquemas de codificação permitem ofuscação de URLs maliciosas de formas que evitam análise tradicional baseada em texto.

Diferentemente de páginas HTML simples, PDFs podem incorporar links dentro de hierarquias de objetos complexas, usar JavaScript para redirecionamentos dinâmicos e empregar compressão que mascara o destino real até que o documento seja completamente renderizado.

Leia Mais
Malware usa domínios gov.br legítimos para infectar vítimas

No lado psicológico, PDFs são universalmente aceitos em contextos profissionais. Usuários raramente questionam recebê-los. Telas pequenas de dispositivos móveis dificultam a inspeção de URLs antes da interação.

A distribuição por SMS/MMS é mais uma vantagem para os criminosos, uma vez que as mensagens de texto são visualizadas em minutos, e os usuários tendem a confiar mais em comunicações recebidas diretamente no celular do que em emails.

Falta de proteção no canal

A maioria das soluções de segurança ainda não estende análise adequada a arquivos distribuídos por SMS/MMS. Embora a filtragem de mensagens de texto esteja se tornando mais comum, poucos sistemas examinam anexos com profundidade suficiente para identificar PDFs maliciosos.

Isso cria um ponto cego explorado ativamente. Enquanto gateways de email e filtros de navegação web evoluíram para detectar ameaças, o canal de mensagens móveis permanece relativamente desprotegido.

Leia Mais
F-39 Gripen: Conheça o caça que vai proteger Brasília

Organizações implementam VPNs, firewalls de aplicação web e sistemas de detecção de intrusão em suas redes corporativas. Mas essas defesas não alcançam dispositivos móveis quando funcionários acessam mensagens pessoais ou usam dados celulares fora da rede corporativa.

Fluxo de ataque documentado

As campanhas seguem padrões de três estágios. No estágio inicial, as vítimas recebem mensagens de texto com PDF anexado. O conteúdo simula comunicações oficiais: avisos de pedágio não pago, faturas de serviços, confirmações de compra.

No segundo estágio, usuários abrem o documento e encontram formatação profissional que imita organizações legítimas. Logos oficiais, tipografia consistente, linguagem formal. O objetivo é construir confiança antes de solicitar interação com links ou números de telefone.

No terceiro estágio, links redirecionam para páginas de coleta de credenciais hospedadas na infraestrutura de domínios rotativos. Ou usuários ligam para números VoIP onde operadores aplicam engenharia social em tempo real para extrair dados pessoais, credenciais de conta e informações de cartão de crédito.

Leia Mais
Vírus 'desperta' na Wikipédia e vandaliza milhares de páginas em 23 minutos

Taxa de precisão e velocidade

A análise classificou 2.145 novos domínios como maliciosos com 98,46% de precisão. A detecção combina duas abordagens: modelos de aprendizado de máquina embarcados que protegem dispositivos em tempo real após primeira detecção, e classificação proativa de domínios recém-criados que identifica infraestrutura antes de atacar dispositivos específicos.

A capacidade de identificar ameaças horas ou dias antes de bases públicas representa diferença operacional significativa. Cada hora de vantagem reduz o número de vítimas potenciais. No caso do PayPal, as 27 horas de antecedência significaram que sistemas baseados em IA bloquearam a ameaça enquanto soluções tradicionais ainda permitiam acesso completo.

Perguntas Frequentes

Como os golpistas estão usando PDFs e SMS para aplicar golpes?
Os golpistas enviam mensagens de texto (SMS ou MMS) com PDFs maliciosos que imitam comunicações oficiais, como notificações do PayPal ou do sistema de pedágio EZDriveMA. Esses documentos usam logos e linguagem formal para parecerem legítimos e contêm links que direcionam a vítima a sites falsos, onde dados pessoais e financeiros são roubados.
O que é phishing e como ele é utilizado nesses ataques?
Phishing é uma técnica de fraude digital que busca enganar o usuário para que ele forneça informações sensíveis, como senhas e dados bancários. Nos ataques descritos, o phishing é feito por meio de PDFs enviados por SMS, que redirecionam a vítima para sites falsos. No caso do PayPal, também há uso de vishing, que é o phishing por voz, ampliando os vetores de ataque.
Por que os ataques ao EZDriveMA são considerados sofisticados?
A campanha contra o EZDriveMA se destaca pela escala e velocidade de criação de domínios maliciosos. Foram gerados cerca de 2.145 domínios em apenas dois meses, usando algoritmos de geração de domínios (DGA) e TLDs como .xin, .top e .vip. Essa rotação rápida dificulta a eficácia de listas de bloqueio tradicionais, permitindo que os golpes permaneçam ativos por mais tempo.
O que são algoritmos de geração de domínios (DGA) e como eles funcionam nesses golpes?
DGA (Domain Generation Algorithm) é uma técnica usada por cibercriminosos para criar automaticamente grandes quantidades de domínios. Nos golpes analisados, os atacantes usaram DGA para registrar rapidamente milhares de domínios com prefixos como "paytoll" e "ezdrivema-com", dificultando a detecção e bloqueio pelos sistemas de segurança.
Qual a diferença entre phishing e vishing?
Phishing é um ataque feito por meio digital, como e-mails ou mensagens com links maliciosos. Já o vishing é uma variação que utiliza chamadas telefônicas para enganar a vítima. Na campanha que imita o PayPal, os golpistas combinam os dois métodos, aumentando as chances de sucesso do golpe.
Por que as soluções de segurança tradicionais falham em detectar esses ataques rapidamente?
As soluções tradicionais de segurança podem levar até 27 horas a mais que sistemas com inteligência artificial embarcada para identificar essas ameaças. Isso ocorre porque os domínios maliciosos são criados e rotacionados rapidamente, o que dificulta a atualização e eficácia das listas de bloqueio convencionais.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 2 dias
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA