El phishing utiliza CPF filtrado para robar dinero a través de PIX

Una nueva campaña de **phishing** explora datos filtrados de CPF en Brasil para robar dinero a través de **PIX**, el sistema de pagos instantáneos. Los criminales envían mensajes SMS fraudulentos, alegando irregularidades en el CPF y amenazando con bloqueos, dirigiendo a las víctimas a sitios engañosos.

Estos mensajes alertan sobre retrasos o bloqueos inminentes, y los enlaces conducen a páginas imitadoras, como "pago-seguro.pro". Estos sitios están diseñados para parecerse a portales del **Poder Judicial**, reforzando la credibilidad del fraude.

Base de datos facilita el fraude

El golpe se vuelve convincente debido al uso de una base de datos de CPFs robados. Cuando la víctima ingresa su CPF, un sistema en un servidor en **Nueva Jersey**, EE. UU., verifica la información y devuelve datos personales, como nombre y fecha de nacimiento.

Esto lleva a las víctimas a creer en la legitimidad del golpe. El sitio fraudulento presenta un número de proceso judicial falso y una multa específica, creando un sentido de urgencia con un temporizador de cuenta regresiva.

Estrategia de pago de los estafadores

Los hackers utilizan un sistema de **rotación** entre diferentes procesadores de pago, como **FusionPay** y **FusionPayBR**. Este enfoque tiene como objetivo distribuir riesgos y dificultar el rastreo de las transacciones.

Si un procesador es bloqueado, el otro sigue funcionando, permitiendo que el esquema permanezca activo por más tiempo.

Errores en la operación revelan detalles del fraude

Investigadores descubrieron que los operadores dejaron inicios de sesión de servidores expuestos, permitiendo el acceso a información que revela el proceso criminal en tiempo real. Esto incluye transacciones e incluso las claves de API utilizadas.

El dominio "pagment-seg.me" fue registrado con protección de privacidad, dificultando la identificación de los responsables del fraude, que realmente es una operación bien organizada.

Períodos críticos para fraudes digitales

Los expertos advierten que las fraudes digitales como esta aumentan durante el **Carnaval**, cuando las personas están más distraídas y usando redes públicas. La urgencia, creada por el temporizador, es particularmente manipuladora cuando los posibles objetivos están lejos de casa.

El miedo a los bloqueos de cuentas durante las festividades lleva a muchos a actuar sin verificar la validez de los cargos. La combinación de vulnerabilidad del usuario y presiones externas aumenta las posibilidades de éxito de los estafadores.

Esté atento y siempre verifique la autenticidad de los cargos antes de realizar pagos a través de cualquier canal. Para más información sobre seguridad digital, síganos en nuestras redes sociales y suscríbase a nuestro boletín.