Relatório de Cibersegurança aponta infraestrutura por trás de golpe do álbum da Copa de 2026

Após o Procon-SP registrar um salto de 220% nas queixas sobre o golpe do álbum da Copa do Mundo FIFA 2026 e a Polícia Civil do Rio de Janeiro apreender 200 mil figurinhas falsas, um relatório de Inteligência Cibernética detalhou, pela primeira vez, a engrenagem digital utilizada pelos criminosos. O estudo de Cyber Threat Intelligence (CTI), divulgado pela Danresa Cybersecurity, revela que a campanha fraudulenta opera como um ecossistema econômico maduro, que abusa de servidores de Nuvem legítimos para passar ileso por filtros de Segurança e utiliza intermediárias de fachada para lavar o dinheiro via Pix.

De acordo com o levantamento técnico, os atacantes mapearam o cronograma oficial da FIFA para disparar anúncios patrocinados em redes sociais e links em aplicativos de mensagens. O objetivo da operação fragmentada vai além do ganho financeiro imediato com a venda de kits falsos: foca no roubo em massa de Dados pessoais (PII) dos colecionadores para alimentar fraudes secundárias no mercado clandestino.

A “assinatura das 5 figurinhas” e o erro dos golpistas
A investigação do laboratório da Danresa aponta que a principal vulnerabilidade do ecossistema de fraude não é de código, mas sim um erro de revisão de produto por parte dos próprios criminosos. Enquanto as páginas clonadas anunciam e vendem pacotes contendo 5 figurinhas, o produto oficial da Panini para a Copa do Mundo de 2026 foi distribuído globalmente com 7 cromos por envelope.

“Essa discrepância de conteúdo tornou-se a assinatura técnica mais forte para detecção automatizada do golpe e o principal farol para o consumidor identificar a fraude antes de fechar o carrinho”, explica Daniel Porta, CISO da Danresa.

Evasão em Nuvem legítima e triangulação no Pix
Para evitar o bloqueio imediato por ferramentas de segurança e firewalls corporativos, os cibercriminosos abandonaram servidores obscuros e passaram a hospedar as páginas clonadas em plataformas de Nuvem de alta reputação, como a Vercel, utilizando subdomínios dotados de certificados HTTPS válidos (como panini-brazil.vercel.app). O monitoramento global identificou mais de 222 domínios maliciosos ativos surfando o tema do torneio.

No momento do pagamento, o fluxo financeiro da fraude substituiu boletos e cartões pelo Pix devido à sua irreversibilidade imediata. O relatório detalha que os criminosos utilizam “intermediadoras de pagamento laranja” — contas jurídicas de fachada abertas em gateways bancários legítimos. Desse modo, quando o usuário escaneia o QR Code, o sistema exibe a razão social de uma suposta empresa prestadora de serviços, mitigando a desconfiança da vítima no segundo final da transferência.

Mitigação e riscos de longo prazo
Como o ciclo de vida da fraude envolve o mapeamento e roubo de Dados sensíveis, a Danresa alerta que o risco para a vítima se estende por meses, já que o CPF exposto pode ser reutilizado para abertura de contas fraudulentas e campanhas de falsidade ideológica. As recomendações de defesa incluem a checagem rigorosa do destinatário final do Pix (que deve ser a Panini Brasil Ltda.), a desconfiança de descontos agressivos acima de 30% e a verificação do domínio oficial, que opera exclusivamente no endereço panini.com.br.