Golpe do álbum da Copa de 2026 usa nuvem legítima e Pix para ampliar fraudes, aponta relatório

O aumento de golpes envolvendo o álbum da Copa do Mundo FIFA 2026 expôs uma estrutura digital sofisticada utilizada por grupos criminosos para ampliar o alcance das fraudes. Um relatório de Cyber Threat Intelligence (CTI), divulgado pela DANRESA Cybersecurity, detalha como a campanha utiliza servidores de nuvem legítimos, páginas falsas e intermediárias de pagamento de fachada para operar em larga escala.

A análise foi divulgada após o Procon-SP registrar crescimento de 220% nas queixas relacionadas ao golpe e a Polícia Civil do Rio de Janeiro apreender 200 mil figurinhas falsas. Segundo o estudo, a operação funciona como um ecossistema econômico estruturado, explorando plataformas reconhecidas para escapar de mecanismos de proteção e utilizando empresas de fachada para movimentar valores recebidos via Pix.

De acordo com o levantamento técnico, os criminosos acompanharam o calendário oficial da FIFA para impulsionar anúncios patrocinados em redes sociais e compartilhar links por aplicativos de mensagens. Além da venda de kits falsificados, a estratégia tem como objetivo capturar grandes volumes de dados pessoais (PII) dos colecionadores para alimentar novas fraudes no mercado clandestino.

Diferença no número de figurinhas virou indicador do golpe

A investigação conduzida pelo laboratório da DANRESA identificou que uma das principais falhas da operação criminosa não estava relacionada à programação, mas a um erro de revisão do próprio produto falso.

Enquanto os sites fraudulentos divulgam e comercializam pacotes com 5 figurinhas, o produto oficial da Panini para a Copa do Mundo de 2026 foi distribuído globalmente com 7 cromos por envelope. “Essa discrepância de conteúdo tornou-se a assinatura técnica mais forte para detecção automatizada do golpe e o principal farol para o consumidor identificar a fraude antes de fechar o carrinho”, explica Daniel Porta, CISO da DANRESA.

Leia mais: Câmara dos deputados quer acelerar regulamentação da IA

Criminosos utilizam serviços de nuvem e contas de fachada

Para reduzir as chances de bloqueio por ferramentas de segurança e firewalls corporativos, os responsáveis pela fraude deixaram de utilizar servidores considerados suspeitos e migraram as páginas clonadas para ambientes de nuvem de alta reputação, como a Vercel.

Segundo o relatório, os golpistas usam subdomínios com certificados HTTPS válidos, como panini-brazil.vercel.app, para aumentar a aparência de legitimidade das páginas. O monitoramento global identificou mais de 222 domínios maliciosos ativos explorando o tema do torneio.

A etapa de pagamento também foi adaptada pelos criminosos. Conforme a análise, boletos e cartões foram substituídos pelo Pix devido à sua irreversibilidade imediata.

O estudo aponta que os grupos utilizam “intermediadoras de pagamento laranja” — contas jurídicas de fachada abertas em gateways bancários legítimos. Com isso, ao escanear o QR Code, a vítima visualiza a razão social de uma suposta empresa prestadora de serviços, reduzindo a desconfiança no momento da transferência.

Dados roubados ampliam riscos para as vítimas

Além do prejuízo financeiro inicial, a DANRESA alerta que os impactos do golpe podem continuar por meses, já que os dados sensíveis capturados podem ser usados em novas tentativas de fraude.

Entre os riscos estão o uso do CPF exposto para abertura de contas fraudulentas e ações de falsidade ideológica.

Como medidas de proteção, a recomendação é verificar cuidadosamente o destinatário final do Pix, que deve ser a Panini Brasil Ltda., evitar ofertas com descontos agressivos acima de 30% e conferir se a compra está sendo feita pelo domínio oficial, que opera exclusivamente no endereço panini.com.br.