Dentro de uma rede de mais de 20.000 lojas falsas

Mapeamos uma ampla operação de loja falsa com mais de 20.000 domínios, dezenas de endereços IP compartilhados e vitrines idênticas com nomes diferentes colados no topo. Eles existem com um propósito: roubar seus dados de pagamento e dados pessoais. O fio que os une é o título de uma guia do navegador sobre o qual a maioria das pessoas nunca pensaria duas vezes: “Seleção incomparável apenas para você.”

Vitrines polidas, armazéns vazios

Lojas falsas são sites fraudulentos projetados para parecerem varejistas on-line legítimos. Eles têm listas de produtos, logotipos de marcas, avaliações de clientes, carrinhos de compras e páginas de checkout com aparência funcional. Eles simplesmente nunca cumprem o que prometem. Em alguns casos, as vítimas não recebem absolutamente nada. Em outros, eles conseguem uma cópia barata que vale uma fração do preço anunciado.

De qualquer forma, o produto vendido são os seus dados: essas lojas falsas coletam suas credenciais de pagamento, endereços de cobrança e dados pessoais e depois os revendem em mercados criminosos ou os usam diretamente para fraude de identidade.

A escala do problema explodiu. De acordo com dados recentes de inteligência sobre ameaçasas fraudes falsas em lojas eletrónicas aumentaram 790% no primeiro trimestre de 2025 em comparação com o mesmo período do ano anterior, impulsionadas em parte pela ansiedade económica em torno das tarifas comerciais que empurram os consumidores para alternativas de barganha.

Somente durante a temporada de férias de 2024, pesquisadores identificaram mais de 80.000 lojas falsas, muitas das quais desapareceram ou foram renomeadas em poucos dias. A telemetria da indústria do final de 2025 descobriu que as lojas falsas representavam 65% de todas as ameaças bloqueadas nas redes sociais, sendo o Facebook e o YouTube as principais plataformas de lançamento.

Essas operações estão cada vez mais industrializadas. Pesquisadores documentaram recentemente FraudWear, uma campanha coordenada envolvendo mais de 30.000 lojas fraudulentas que se fazem passar por mais de 350 marcas de moda em todo o mundo.

Outro investigação descobriu o BogusBazaar, uma rede estilo franquia onde uma equipe central mantinha os servidores, o processamento de pagamentos e a infraestrutura de modelos, enquanto operadores descentralizados criavam lojas individuais sobre ela. Essa rede processou mais de um milhão de pedidos em 75.000 domínios desde 2021.

As lojas falsas têm sucesso porque utilizam comportamentos de compra familiares: clicar em anúncios, seguir resultados de pesquisa e chegar a sites de aparência sofisticada. Eles colocam pressão psicológica no topo, com ofertas por tempo limitado, cronômetros de contagem regressiva e avisos de desaparecimento de estoque.

Mesma vitrine, nomes diferentes

Ao investigar domínios de comércio eletrônico suspeitos, identificamos um cluster de mais de 20 mil sites que compartilham padrões de infraestrutura comuns.

A maioria usou o .comprar domínio de nível superior (TLD), que se tornou o favorito entre os golpistas graças às taxas de registro baratas e a um nome de aparência plausível. O .comprar extensão agora está entre os principais TLDs associados a spam e atividades maliciosas, de acordo com aos dados de segurança de e-mail da Cloudflare.

Investigar a origem da página revelou o que une esses sites. Todos rodam em WordPress e são desenvolvidos pela Sellvia, uma plataforma legítima de comércio eletrônico com sede nos EUA que permite aos usuários lançar uma loja dropshipping rapidamente com modelos prontos, catálogos de produtos e processamento de pagamentos.

As vitrines reaproveitam os temas da Sellvia e extraem imagens de produtos de sua rede. Os seis modelos “diferentes” que observamos são, na verdade, apenas dois temas básicos com variações cosméticas. Aqui estão alguns exemplos, mostrados em pares para ilustrar como o mesmo modelo aparece sob marcas completamente diferentes.

20.000 domínios, 36 endereços IP

Por trás das semelhanças visuais, essas lojas falsas compartilham uma estrutura de infraestrutura comum. Todos os mais de 20.000 domínios são resolvidos para um conjunto de apenas 36 endereços IP.

Esse nível de concentração não é típico de varejistas online legítimos. É uma marca registrada das operações de fraude em massa, onde um grupo gerencia os servidores e modelos enquanto operadores individuais criam domínios por cima.

Grande parte dessa atividade agrupa-se em torno de um pequeno número de intervalos de IP, incluindo blocos no espaço 207.244.xx e 23.105.xx. Esse agrupamento aponta para uma preferência por provedores de hospedagem específicos e uma configuração projetada para velocidade: criar um domínio, anexar um modelo, entrar no ar.

Isso reflete o modelo de franquia visto em outras redes de lojas falsas. Um grupo principal gerencia os servidores, modelos e configuração de pagamento, enquanto as operadoras registram domínios e lançam vitrines. Quando um site é sinalizado ou retirado do ar, outro toma o seu lugar.

Mas o mesmo agrupamento também é um ponto fraco. Interrompa um pequeno número de servidores e você poderá colocar milhares de sites off-line.

Como se proteger de lojas falsas

Estas lojas falsas não são empresas independentes. Eles fazem parte de operações grandes e repetíveis, projetadas para parecer convincentes, agir rapidamente e desaparecer com a mesma rapidez.

Se um site parecer desconhecido, apressado ou bom demais para ser verdade, trate-o dessa forma. Alguns segundos extras de verificação podem evitar que você entregue seu dinheiro e seus dados a cibercriminosos.

• Use a proteção do navegador. Ferramentas como o Malwarebytes Browser Guard podem bloquear sites fraudulentos conhecidos antes mesmo de você finalizar a compra.
• Verifique o domínio com atenção. Tenha cuidado com terminações desconhecidas como .shop, .top, .store e .xyz, especialmente quando combinadas com nomes genéricos que parecem de marca. Se você nunca ouviu falar do varejista, esse é o seu primeiro sinal.
• Seja cético em relação a grandes descontos. Se um item estiver esgotado em qualquer outro lugar, mas com grandes descontos em um site desconhecido, é uma isca.
• Fique atento às vitrines de copiar e colar. Se vários sites tiverem layouts, imagens de produtos e banners idênticos com nomes diferentes, provavelmente estão usando o mesmo modelo. Lojas legítimas não funcionam assim.
• Procure avaliações independentes. Pesquise o nome da loja com termos como “avaliação” ou “fraude”. Se os únicos resultados forem o próprio site, isso lhe diz algo.
• Não ignore seus instintos. Se algo parecer errado, pare. Não insira seus dados de pagamento apenas para “ver o que acontece”.
• Use métodos de pagamento mais seguros. Os cartões de crédito oferecem melhor proteção do que os de débito. Cartões virtuais ou serviços de pagamento podem adicionar uma camada extra entre seus dados e o vendedor.

Dica profissional: o Malwarebytes bloqueia esses domínios como fraudulentos.

Indicadores de Compromisso (IOCs)

Endereços IP

• 108(.)59(.)1(.)151
• 108(.)59(.)12(.)118
• 108(.)59(.)14(.)13
• 108(.)59(.)8(.)97
• 108(.)62(.)0(.)220
• 108(.)62(.)116(.)82
• 108(.)62(.)117(.)45
• 162(.)210(.)195(.)105
• 162(.)210(.)195(.)113
• 162(.)210(.)198(.)37
• 162(.)210(.)199(.)12
• 162(.)210(.)199(.)183
• 162(.)210(.)199(.)235
• 192(.)96(.)200(.)81
• 198(.)7(.)58(.)168
• 198(.)7(.)58(.)87
• 199(.)115(.)115(.)2
• 207(.)244(.)102(.)13
• 207(.)244(.)109(.)109
• 207(.)244(.)126(.)106
• 207(.)244(.)126(.)19
• 207(.)244(.)126(.)21
• 207(.)244(.)67(.)158
• 207(.)244(.)69(.)201
• 207(.)244(.)71(.)143
• 207(.)244(.)89(.)198
• 207(.)244(.)91(.)203
• 23(.)105(.)160(.)43
• 23(.)105(.)172(.)14
• 23(.)105(.)8(.)15
• 23(.)105(.)8(.)17
• 23(.)105(.)8(.)19
• 23(.)82(.)11(.)26
• 23(.)82(.)13(.)161
• 23(.)82(.)13(.)34
• 5(.)79(.)69(.)45

Não apenas denunciamos golpes, nós ajudamos a detectá-los

Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Se algo parecer duvidoso para você, verifique se é uma fraude usando o Malwarebytes Scam Guard. Envie uma captura de tela, cole conteúdo suspeito ou compartilhe um link, mensagem de texto ou número de telefone e diremos se é uma fraude ou se é legítimo. Disponível com Malwarebytes Premium Security para todos os seus dispositivos e no aplicativo Malwarebytes para iOS e Android.