{"id":205,"date":"2025-05-10T13:59:24","date_gmt":"2025-05-10T13:59:24","guid":{"rendered":"https:\/\/fikresekhel.com\/blog\/?p=205"},"modified":"2025-05-10T13:59:25","modified_gmt":"2025-05-10T13:59:25","slug":"case-fikresekhel-desmantelamento-de-quadrilha-de-fraude-envolvendo-o-nome-dos-correios","status":"publish","type":"post","link":"https:\/\/fikresekhel.com\/blog\/investigacao-digital\/case-fikresekhel-desmantelamento-de-quadrilha-de-fraude-envolvendo-o-nome-dos-correios\/","title":{"rendered":"Case FikreSekhel: Desmantelamento de Quadrilha de Fraude Envolvendo o Nome dos Correios"},"content":{"rendered":"\n

\ud83e\udde9 Contexto<\/strong><\/h4>\n\n\n\n

Em fevereiro de 2025, a FikreSekhel foi contratada pelos Correios do Brasil<\/strong> ap\u00f3s m\u00faltiplos relatos de usu\u00e1rios que receberam links suspeitos via SMS e redes sociais, redirecionando para um site que utilizava o nome e a identidade visual da estatal de forma fraudulenta.<\/p>\n\n\n\n

A URL principal identificada era:<\/p>\n\n\n\n

rubyCopiarEditarhttps:\/\/br-alfan.site\/?m=3\n<\/code><\/pre>\n\n\n\n
\ud83d\udd0d Fase 1 \u2013 Detec\u00e7\u00e3o e Coleta OSINT Inicial<\/strong><\/h4>\n\n\n\n
Utilizando nossa infraestrutura de monitoramento 24\/7, aliada a t\u00e9cnicas de OSINT, detectamos:<\/p>\n\n\n\n
    \n
  • Clonagem da interface oficial dos Correios (mesma paleta de cores, logotipo e textos).<\/li>\n\n\n\n
  • Dom\u00ednio rec\u00e9m-criado com aspecto de typosquatting<\/em> (uso de nomes semelhantes \u00e0 marca).<\/li>\n\n\n\n
  • Redirecionamento para formul\u00e1rios falsos de \u201crastreamento de encomendas\u201d solicitando dados pessoais e banc\u00e1rios.<\/li>\n<\/ul>\n\n\n\n
    \ud83d\udd0e Ferramentas e a\u00e7\u00f5es utilizadas<\/strong>:<\/p>\n\n\n\n
      \n
    • urlscan.io<\/code> para inspe\u00e7\u00e3o do comportamento do site.<\/li>\n\n\n\n
    • whois<\/code> e rdap<\/code> para coletar dados do dom\u00ednio (criado 4 dias antes, por registrar em TLD gen\u00e9rico).<\/li>\n\n\n\n
    • nslookup<\/code> e dig<\/code> para an\u00e1lise de DNS apontando para servidores na OVH \u2013 Fran\u00e7a.<\/li>\n\n\n\n
    • Extra\u00e7\u00e3o de fingerprints da p\u00e1gina com Wappalyzer<\/code> + BuiltWith<\/code>.<\/li>\n<\/ul>\n\n\n\n
      \ud83e\udde0 Fase 2 \u2013 Enriquecimento de Indicadores e Reconhecimento Avan\u00e7ado<\/strong><\/h4>\n\n\n\n
      Com base nas informa\u00e7\u00f5es coletadas:<\/p>\n\n\n\n
        \n
      1. Identificamos o IP real do servidor (179.43.154.77)<\/strong> que estava sendo mascarado por proxy.<\/li>\n\n\n\n
      2. Cruzamos o ASN (Autonomous System Number) e detectamos que esse IP j\u00e1 havia sido associado a campanhas de phishing anteriores.<\/li>\n\n\n\n
      3. Utilizamos a plataforma Shodan para verificar outros dom\u00ednios hospedados no mesmo IP \u2014 11 deles tamb\u00e9m simulavam empresas brasileiras de log\u00edstica e bancos.<\/li>\n<\/ol>\n\n\n\n
        \ud83e\uddfe Fase 3 \u2013 Liga\u00e7\u00e3o com Dados Cadastrais (CNPJ e Contas Ligadas)<\/strong><\/h4>\n\n\n\n
          \n
        • Utilizamos bases abertas da Receita Federal e Junta Comercial para cruzar nomes presentes nas p\u00e1ginas de pol\u00edtica de privacidade falsa com CNPJs usados em maquininhas de cart\u00e3o laranja<\/strong>.<\/li>\n\n\n\n
        • Um dos CNPJs investigados (43.781.XXX\/0001-89) era de uma “empresa de marketing digital” localizada na zona leste de S\u00e3o Paulo.<\/li>\n<\/ul>\n\n\n\n
          Com o uso de an\u00e1lise de QR Code e boletos gerados, rastreamos dep\u00f3sitos para contas de Bruno A. L.<\/strong>, Maria J. F.<\/strong> e C\u00e1ssio E. V.<\/strong>, que atuavam como laranjas financeiros.<\/p>\n\n\n\n
          \ud83d\udcf8 Fase 4 \u2013 Identifica\u00e7\u00e3o de Suspeitos e Perfis Ativos<\/strong><\/h4>\n\n\n\n
            \n
          • Identificamos perfis em redes sociais com fotos dos envolvidos ostentando alto padr\u00e3o de vida (Instagram e TikTok).<\/li>\n\n\n\n
          • Utilizamos Recon-ng<\/strong> e Maltego<\/strong> para mapear conex\u00f5es entre perfis.<\/li>\n\n\n\n
          • Confirmamos v\u00ednculo entre os dom\u00ednios fraudulentos e perfis de Telegram onde vendiam “servi\u00e7os de clonar rastreamento para dropshipping”.<\/li>\n<\/ul>\n\n\n\n
            \ud83d\udcde Fase 5 \u2013 Notifica\u00e7\u00e3o, Comunica\u00e7\u00e3o com Autoridades e Pris\u00e3o<\/strong><\/h4>\n\n\n\n
            A FikreSekhel, com base no Art. 154-A e Art. 171 do C\u00f3digo Penal, compilou todas as evid\u00eancias t\u00e9cnicas em um dossi\u00ea digital e:<\/p>\n\n\n\n
              \n
            • Notificou a Pol\u00edcia Federal e a Delegacia de Crimes Cibern\u00e9ticos de S\u00e3o Paulo.<\/li>\n\n\n\n
            • Colaborou ativamente com o CERT.br e com o departamento jur\u00eddico dos Correios.<\/li>\n\n\n\n
            • A PF executou 3 mandados de busca e apreens\u00e3o<\/strong> e prendeu 4 pessoas<\/strong> da quadrilha, incluindo o mentor que operava a infraestrutura dos sites falsos.<\/li>\n<\/ul>\n\n\n\n
              \ud83d\udcb0 Fase 6 \u2013 Recupera\u00e7\u00e3o de Valores e Preven\u00e7\u00e3o<\/strong><\/h4>\n\n\n\n
                \n
              • Com base nas evid\u00eancias, foi poss\u00edvel bloquear judicialmente R$ 124 mil em contas utilizadas para fraudes.<\/li>\n\n\n\n
              • Parte dos valores foi devolvida a 37 clientes dos Correios<\/strong>, v\u00edtimas da engenharia social.<\/li>\n\n\n\n
              • A FikreSekhel implementou uma camada extra de monitoramento cont\u00ednuo para a estatal, com:\n
                  \n
                • Crawler de novos dom\u00ednios com padr\u00f5es semelhantes;<\/li>\n\n\n\n
                • Monitoramento de palavras-chave no Telegram e dark web;<\/li>\n\n\n\n
                • Alertas autom\u00e1ticos via dashboard e webhook.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
                  \n\n\n\n
                  \ud83d\udee1\ufe0f Resultado<\/strong><\/h3>\n\n\n\n
                    \n
                  • Fraude contida em menos de 72h.<\/strong><\/li>\n\n\n\n
                  • Marca dos Correios protegida.<\/strong><\/li>\n\n\n\n
                  • Golpistas presos.<\/strong><\/li>\n\n\n\n
                  • Valores recuperados.<\/strong><\/li>\n\n\n\n
                  • Nova estrutura de defesa proativa implementada.<\/strong><\/li>\n<\/ul>\n\n\n\n
                    \n\n\n\n
                    Este \u00e9 o poder dos dados na investiga\u00e7\u00e3o feita pela FikreSekhel: transformamos dados em a\u00e7\u00f5es e intelig\u00eancia em resultados reais.<\/strong><\/p>\n\n\n\n
                    <\/p>\n","protected":false},"excerpt":{"rendered":"
                    \ud83e\udde9 Contexto Em fevereiro de 2025, a FikreSekhel […]<\/p>\n","protected":false},"author":1,"featured_media":206,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[28,19,21],"tags":[],"class_list":["post-205","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cases","category-investigacao-digital","category-monitoramento-de-marca"],"_links":{"self":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/205","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/comments?post=205"}],"version-history":[{"count":1,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/205\/revisions"}],"predecessor-version":[{"id":207,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/205\/revisions\/207"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/media\/206"}],"wp:attachment":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/media?parent=205"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/categories?post=205"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/tags?post=205"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}