🧩 Contexto
Em fevereiro de 2025, a FikreSekhel foi contratada pelos Correios do Brasil após múltiplos relatos de usuários que receberam links suspeitos via SMS e redes sociais, redirecionando para um site que utilizava o nome e a identidade visual da estatal de forma fraudulenta.
A URL principal identificada era:
rubyCopiarEditarhttps://br-alfan.site/?m=3
🔍 Fase 1 – Detecção e Coleta OSINT Inicial
Utilizando nossa infraestrutura de monitoramento 24/7, aliada a técnicas de OSINT, detectamos:
- Clonagem da interface oficial dos Correios (mesma paleta de cores, logotipo e textos).
- Domínio recém-criado com aspecto de typosquatting (uso de nomes semelhantes à marca).
- Redirecionamento para formulários falsos de “rastreamento de encomendas” solicitando dados pessoais e bancários.
🔎 Ferramentas e ações utilizadas:
urlscan.iopara inspeção do comportamento do site.whoiserdappara coletar dados do domínio (criado 4 dias antes, por registrar em TLD genérico).nslookupedigpara análise de DNS apontando para servidores na OVH – França.- Extração de fingerprints da página com
Wappalyzer+BuiltWith.
🧠 Fase 2 – Enriquecimento de Indicadores e Reconhecimento Avançado
Com base nas informações coletadas:
- Identificamos o IP real do servidor (179.43.154.77) que estava sendo mascarado por proxy.
- Cruzamos o ASN (Autonomous System Number) e detectamos que esse IP já havia sido associado a campanhas de phishing anteriores.
- Utilizamos a plataforma Shodan para verificar outros domínios hospedados no mesmo IP — 11 deles também simulavam empresas brasileiras de logística e bancos.
🧾 Fase 3 – Ligação com Dados Cadastrais (CNPJ e Contas Ligadas)
- Utilizamos bases abertas da Receita Federal e Junta Comercial para cruzar nomes presentes nas páginas de política de privacidade falsa com CNPJs usados em maquininhas de cartão laranja.
- Um dos CNPJs investigados (43.781.XXX/0001-89) era de uma “empresa de marketing digital” localizada na zona leste de São Paulo.
Com o uso de análise de QR Code e boletos gerados, rastreamos depósitos para contas de Bruno A. L., Maria J. F. e Cássio E. V., que atuavam como laranjas financeiros.
📸 Fase 4 – Identificação de Suspeitos e Perfis Ativos
- Identificamos perfis em redes sociais com fotos dos envolvidos ostentando alto padrão de vida (Instagram e TikTok).
- Utilizamos Recon-ng e Maltego para mapear conexões entre perfis.
- Confirmamos vínculo entre os domínios fraudulentos e perfis de Telegram onde vendiam “serviços de clonar rastreamento para dropshipping”.
📞 Fase 5 – Notificação, Comunicação com Autoridades e Prisão
A FikreSekhel, com base no Art. 154-A e Art. 171 do Código Penal, compilou todas as evidências técnicas em um dossiê digital e:
- Notificou a Polícia Federal e a Delegacia de Crimes Cibernéticos de São Paulo.
- Colaborou ativamente com o CERT.br e com o departamento jurídico dos Correios.
- A PF executou 3 mandados de busca e apreensão e prendeu 4 pessoas da quadrilha, incluindo o mentor que operava a infraestrutura dos sites falsos.
💰 Fase 6 – Recuperação de Valores e Prevenção
- Com base nas evidências, foi possível bloquear judicialmente R$ 124 mil em contas utilizadas para fraudes.
- Parte dos valores foi devolvida a 37 clientes dos Correios, vítimas da engenharia social.
- A FikreSekhel implementou uma camada extra de monitoramento contínuo para a estatal, com:
- Crawler de novos domínios com padrões semelhantes;
- Monitoramento de palavras-chave no Telegram e dark web;
- Alertas automáticos via dashboard e webhook.
🛡️ Resultado
- Fraude contida em menos de 72h.
- Marca dos Correios protegida.
- Golpistas presos.
- Valores recuperados.
- Nova estrutura de defesa proativa implementada.
Este é o poder dos dados na investigação feita pela FikreSekhel: transformamos dados em ações e inteligência em resultados reais.