Eric Moret, gerente de produto da Broadcom Software no Vale do Silício, achava que sabia melhor.
Mas, como ele explicou em primeira mão em um artigo publicado no Medium, até mesmo um profissional de tecnologia como ele é capaz de cair em alguns dos golpes online mais sofisticados da atualidade.
“Quase perdi tudo – minhas fotos, meu e-mail, toda a minha vida digital”, escreveu Moret (1).
Tudo começou com uma simples mensagem de texto que rapidamente se transformou em um ataque de phishing inteligente, que demonstra como os golpistas evoluíram além dos sinais de alerta óbvios.
Este não foi um e-mail mal escrito com erros de digitação flagrantes. Foi um ataque sofisticado e multicanal que explorou a infraestrutura de suporte da própria Apple para criar legitimidade e confiança. E com a temporada de compras natalinas em pleno andamento, a história de Moret deve servir de alerta aos compradores de todos os lugares.
Às 15h17 de uma quarta-feira aleatória, Moret recebeu uma mensagem de texto. “O código da sua conta Apple é: 994977. Não o compartilhe com ninguém”, dizia o texto.
Mas, como observou em seu artigo, Moret não estava tentando fazer login em sua conta da Apple. Outra pessoa estava tentando obter acesso à sua conta, acionando códigos de autenticação de dois fatores (2FA).
Em um minuto, o sistema automatizado da Apple ligou com outro código de verificação. Três minutos depois, Moret recebeu outra ligação de um número de Atlanta identificado como Suporte da Apple.
“Sua conta está sob ataque. Estamos abrindo um ticket para ajudá-lo. Alguém entrará em contato com você em breve”, disse Moret. Cerca de 10 minutos depois, o mesmo número ligou de volta, só que desta vez o representante foi “calmo, profissional”, mantendo Moret na linha por 25 minutos.
Foi quando os golpistas começaram a implantar táticas sofisticadas e inteligentes. Conforme explicou Moret, os golpistas criaram um caso real de suporte da Apple em seu nome – caso número 102750168703 – que gerou e-mails oficiais vindos do sistema da Apple.
“Isto deu-lhes enorme credibilidade”, escreveu Moret (1). “Os próprios sistemas da Apple estavam me enviando e-mails oficiais confirmando o número do caso.”
Os golpistas então o orientaram no processo de verificação do e-mail legítimo da Apple e o instruíram a redefinir sua senha do iCloud. “Isso parecia errado”, escreveu Moret, mas a voz na linha nunca pediu diretamente seu código 2FA. Eles permitiram que ele mesmo completasse a redefinição, o que Moret disse parecer “certo”.
Leia mais: Warren Buffett usou 8 regras monetárias simples para transformar US$ 9.800 em impressionantes US$ 150 bilhões – comece a usá-las hoje para ficar rico (e depois permanecer rico)
A partir daí, o falso representante disse que Moret receberia uma mensagem com um link para encerrar o caso. O link – apelo-apple.com – parecia legítimo e abria uma página da Apple com criptografia HTTPS e um certificado válido. A página também tinha um campo para o número do caso de Moret.
“Eles me pediram para entrar e, para reforçar minha confiança, leram para mim os últimos 4 dígitos do caso que correspondiam ao e-mail de confirmação do ticket”, escreveu Moret. A página também exibia uma lista de etapas com marcas de seleção ao lado daquelas que foram concluídas, como “Ticket aberto”, “Conta congelada” e “Senha alterada”.
“Esta foi uma manipulação psicológica brilhante”, escreveu Moret. “Cada marca de verificação preenchida gerava confiança. O indicador ‘em andamento’ criava urgência. Eu estava observando minha conta ser ‘protegida’ em tempo real, ou assim pensei.”
Moret foi então informado por telefone que receberia um código de confirmação para fechar o ticket. Imediatamente depois de ouvir essas palavras, a página que Moret estava acessando foi substituída por um familiar espaço reservado de seis dígitos. Moret então recebeu um código de validação da Apple via SMS e o digitou.
“Este foi o momento em que eles venceram”, escreveu ele. Segundos depois, Moret recebeu um e-mail que fez seu “sangue gelar”.
“Sua conta Apple foi usada para fazer login no iCloud em um Mac mini (2024)”, dizia o e-mail. Foi quando Moret, que não possui um Mac mini, percebeu que tinha acabado de ser enganado. Como ainda estava na linha com o suposto representante da Apple, Moret contou ao representante sobre o e-mail que acabara de receber e foi informado de que era “esperado como parte do processo de segurança”.
Assustado e cético, Moret imediatamente mudou sua senha do iCloud pela segunda vez, desta vez sem a ajuda dos golpistas. E momentos depois, a ligação com o golpista caiu.
“Fiquei tremendo diante dos meus dispositivos, só então percebendo que tinha acabado de escapar de uma grande catástrofe”, escreveu Moret. “Em poucos minutos, o Mac mini desapareceu da minha lista de dispositivos. O site de phishing redirecionou para o Google. O tíquete de suporte da Apple foi fechado.”
Moret está compartilhando sua história em um momento crítico. De acordo com o Pew Research Center, quase três quartos (73%) dos americanos foram alvo de golpistas online (2). Com as compras de fim de ano em pleno andamento, os especialistas alertam que os golpes aprimorados por IA atingiram níveis de sofisticação sem precedentes.
De acordo com o relatório sobre o estado das fraudes da Global Anti-Scam Alliance de 2025, 57% dos adultos em todo o mundo sofreram uma fraude no ano passado, com 23% relatando dinheiro roubado (3). O Google também afirma que durante os principais períodos de compras, os golpistas “aumentam as atividades fraudulentas… explorando o aumento da demanda e da urgência do consumidor”.
Os sinais de alerta tradicionais de um golpe – erros gramaticais, ligações ansiosas ou endereços de e-mail que são obviamente falsos – parecem ser algo ultrapassado para os golpistas sofisticados de hoje. As ferramentas de IA agora podem gerar e-mails de phishing impecáveis, criar imitações de voz realistas e criar sites falsos convincentes em grande escala.
A história de Moret confirma esta progressão nefasta. “O phishing moderno usa infraestrutura corporativa contra você. Eles não precisam de erros ortográficos quando têm números reais de casos da Apple”, escreveu ele.
Talvez o mais preocupante seja o facto de as gerações mais jovens serem agora as que correm maior risco. De acordo com o Consumer Affairs, os Millennials e a Geração Z são os grupos etários com maior probabilidade de serem visados, à medida que os fraudadores aumentam o uso das redes sociais e das plataformas de mensagens (4).
“Adicione ferramentas de IA de rápido avanço que podem imitar vozes reais e estilos de bate-papo pessoal, e os golpes estão se tornando mais convincentes – e muito mais difíceis de detectar”, afirma Consumer Affairs em seu artigo.
A experiência de Moret fornece lições cruciais sobre como proteger sua vida digital. Aqui está o que os especialistas – incluindo o próprio Moret – recomendam:
Nunca clique em links em textos ou e-mails não solicitados, mesmo que pareçam legítimos. Se for contatado por telefone sobre um problema de conta, desligue e ligue para a empresa usando um número de seu site oficial. Esta prática por si só pode impedir a maioria das tentativas de phishing bem-sucedidas.
Como Moret aprendeu da maneira mais difícil, apelo-apple.com não é um subdomínio oficial da Apple.
Os golpistas costumam usar domínios que se parecem muito com os legítimos. Antes de clicar em qualquer link enviado por e-mail ou mensagem de texto, verifique se o link é um domínio real da empresa ou organização de onde o e-mail ou texto afirma ser proveniente.
Como descobriu Moret, os invasores podem criar casos reais de suporte da Apple em nome de qualquer pessoa, gerando e-mails de confirmação que parecem legítimos. Sempre abra tickets de suporte por conta própria e nunca confie em um que foi criado para você.
Nenhum representante legítimo da empresa solicitará que você leia os códigos de verificação em voz alta ou os insira em um site para o qual foi enviado. Esses códigos devem ser inseridos somente por você em sites nos quais você navegou de forma independente.
Como Moret escreveu em seu artigo, “proteja esses códigos 2FA como se sua vida digital dependesse disso… porque depende”.
Essas mensagens mostram quando novos dispositivos acessam suas contas. Se você vir um dispositivo desconhecido, altere imediatamente sua senha e revise a atividade da sua conta.
Para proteção máxima, use chaves de segurança como YubiKey ou Google Titan para autenticação de dois fatores. Ao contrário dos códigos SMS, as chaves de hardware são imunes ao phishing porque verificam a autenticidade do site antes de funcionar.
Os golpistas muitas vezes confiam na criação de urgência e pânico para atacar suas vítimas. Uma enxurrada de códigos de verificação, chamadas automatizadas e representantes de suporte informando que “sua conta está sob ataque” cria pressão para agir rapidamente.
É por isso que é importante fazer uma pausa e verificar de forma independente. Problemas legítimos de segurança podem esperar enquanto você confirma através dos canais oficiais.
Contamos apenas com fontes verificadas e relatórios confiáveis de terceiros. Para obter detalhes, consulte nossas diretrizes e ética editorial.
Médio (1); Centro de Pesquisa Pew (2); Google (3); Assuntos do Consumidor (4)
Este artigo fornece apenas informações e não deve ser interpretado como um conselho. É fornecido sem qualquer tipo de garantia.
