Criminosos passaram a explorar o novo sistema de pedágio free flow em São Paulo para aplicar golpes em motoristas por meio de buscas no Google. A fraude envolvia um site falso que se apresentava como canal oficial para pagamento das tarifas e aparecia em posição de destaque nos resultados patrocinados, induzindo usuários ao erro.

Ao acessar a página, a vítima era orientada a inserir a placa do veículo e aceitar termos de uso e política de privacidade. Em seguida, o sistema exibia informações detalhadas do carro – como marca, modelo, ano, cor e até chassi – além de um valor supostamente devido de pedágio. Os montantes apresentados eram elevados e acompanhados de prazos curtos para pagamento, com alertas de que a “infração” poderia ser encaminhada ao Detran.

Sindpd lança enquete sobre pisos salariais da categoria de TI em SP; participe!

Para reforçar a pressão psicológica, o site citava a legislação sobre evasão de pedágio, mencionando multa de R$ 195,23 e a perda de cinco pontos na Carteira Nacional de Habilitação (CNH). O conjunto de elementos – aparência institucional, dados reais e senso de urgência – conferia credibilidade à fraude.
A estratégia usada pelos golpistas combinava técnicas sofisticadas, como o uso do Google Ads para promover páginas de phishing e a manipulação de mecanismos de busca para alcançar as primeiras posições. Também havia forte uso de engenharia social, com imitação de páginas governamentais e ameaças que levavam a decisões apressadas.

Procurado para comentar o caso, o Google informou que possui políticas que proíbem anúncios enganosos e que age quando identifica violações. A empresa afirmou ainda que, somente em 2024 no Brasil, removeu 201 milhões de anúncios e suspendeu 1,3 milhão de contas de anunciantes, além de disponibilizar ferramentas para denúncia por parte dos usuários.

Dados vazados ampliam risco de golpes

O uso de informações reais dos veículos chamou atenção e remete a um episódio recente de vazamento de dados. Em novembro de 2024, credenciais do Sistema de Certificação de Segurança Veicular (SisCSV), utilizado pelo Detran em vistorias, foram expostas, permitindo o acesso indevido a dados de cerca de 33 milhões de motoristas. O incidente foi confirmado pelo Serpro após denúncia.

Entre as informações comprometidas estavam nome completo, CPF, endereço, Renavam, placas, modelo e cor dos veículos, além de fotos e dados sobre vistorias. A falha, associada à ausência de autenticação em dois fatores, permitiu que criminosos acessassem o sistema com credenciais vazadas de funcionários, em um ataque conhecido como “credential stuffing”. Esses dados passaram a ser comercializados para a prática de diferentes fraudes.

O site fraudulento se aproveitou da falta de informações claras sobre o funcionamento do novo pedágio free flow e começou a agir antes mesmo do início efetivo das cobranças, que passaram a valer em 6 de dezembro. Após denúncias, a página foi marcada como suspeita e retirada do ar, deixando de aparecer nos resultados de busca.

Como se proteger

Especialistas recomendam atenção redobrada para evitar esse tipo de golpe. O ideal é acessar apenas sites oficiais, digitando o endereço diretamente no navegador e desconfiando de anúncios patrocinados para serviços públicos. Endereços governamentais legítimos terminam em “.gov.br”.

Também é importante verificar a URL com cuidado, já que golpistas costumam usar domínios semelhantes aos oficiais. Desconfie de mensagens que criam urgência excessiva ou ameaçam multas imediatas. Antes de qualquer pagamento, confirme valores e pendências pelos canais oficiais do concessionário ou do Detran.

Outra orientação é evitar fornecer dados sem necessidade e monitorar movimentações financeiras e cadastrais, utilizando ferramentas oficiais e notificações bancárias. Em caso de dúvida, o contato deve ser feito apenas por meios institucionais confiáveis, nunca por informações fornecidas em sites suspeitos.

(Com informações de Tecmundo)
(Foto: Reprodução/Freepik)