Golpes pós-Black Friday começam depois das compras. Enquanto varejistas contabilizam o faturamento da época de vendas altas, criminosos estão começando a segunda fase da operação. Isso porque o período pós-Black Friday é de fraudes sofisticadas que exploram exatamente o que deveria gerar confiança: políticas de devolução, sistemas automatizados de atendimento e a boa-fé de consumidores ansiosos por seus produtos.
E o impacto vai muito além de prejuízos financeiros. Estamos falando de comprometimento de dados, erosão de reputação e brechas que expõem toda a cadeia de suprimentos digital.
Este artigo foi elaborado com o apoio do time especializado da INGENI, laboratório de inteligência de ameaças da Redbelt Security. Para ter acesso aos relatórios e a mais informações sobre a INGENI, entre em contato com um de nossos consultores.
Logística reversa como porta de entrada
Enquanto empresas investem em proteger o checkout, a logística reversa nem sempre tem a mesma barreira de segurança. Portais de devolução, sistemas de rastreamento e processos de reembolso foram desenhados para conveniência, não para segurança. E os atacantes sabem disso.
Em março de 2024, a rede de fraudes REKK foi desmantelada após investigação da Amazon. O grupo operava abertamente via Telegram e Reddit, recrutando funcionários de varejistas para marcar produtos como devolvidos nos sistemas internos sem que fossem fisicamente retornados. Um funcionário confessou à polícia ter recebido US$ 3.500 para falsificar retornos no sistema da Amazon. O operador do REKK foi preso na Lituânia em março de 2025.
Outro grupo, o Chin Chopa, operava um esquema similar via Telegram com mais de 2.000 seguidores. Cobravam 30% do valor do produto para obter reembolsos fraudulentos usando engenharia social com atendimento ao cliente e relatórios policiais falsificados. A Amazon alega perdas superiores a US$ 1 milhão apenas com esse grupo.
Para as empresas, o alerta é: a logística reversa é o novo perímetro de ataque. Enquanto a indústria investe bilhões protegendo o checkout, os sistemas de devolução operam como portas abertas: APIs sem rate limiting, aprovações automáticas sem análise de risco, e fluxos de reembolso que processam milhares de requisições por hora sem validação de identidade.
O REKK e o Chin Chopa provaram que fraudadores não precisam hackear sistemas — basta explorar a conveniência que desenhamos para clientes honestos. Se o seu WAF monitora apenas requisições de entrada, você está protegendo a frente enquanto os fundos saem pelos fundos. Em 2025, a segurança precisa ser bidirecional: entrada e saída.
Para consumidores, a ameaça é diferente, mas igualmente real: ao solicitar uma devolução através de links recebidos por e-mail ou SMS, você pode estar alimentando um site clone que coleta suas credenciais. Sempre acesse portais de devolução digitando o endereço oficial no navegador, nunca clicando em links.
Golpes pós-Black Friday: o custo das fraudes em devoluções
Nos Estados Unidos, fraudes em devoluções custaram US$ 101 bilhões aos varejistas em 2023. Especialistas da indústria estimam que cerca de 15% das devoluções são fraudulentas ou representam abuso do sistema.
No Brasil, embora não existam estatísticas consolidadas específicas sobre fraudes em logística reversa, a projeção é preocupante. Com estimativa de R$ 224,7 bilhões no e-commerce brasileiro para 2025 (aumento de 10% sobre 2024) e o retorno das mercadorias representando cerca de 10% das transações digitais, se aplicarmos a taxa internacional de 15% de fraude em devoluções, as perdas estimadas para o mercado brasileiro superam R$ 3,3 bilhões por ano.
Uma curiosidade: a taxa de devolução no e-commerce brasileiro pode chegar a 30% em algumas categorias — significativamente superior aos 9% das lojas físicas. Gastos com logística reversa chegam a 5% do faturamento das empresas, segundo o Conselho de Logística Reversa do Brasil.
O país registrou R$ 3 bilhões em tentativas de fraude no e-commerce apenas no primeiro trimestre de 2025, representando aumento de 22,9% em relação ao mesmo período de 2024, segundo a Serasa Experian. Foram 3,5 milhões de tentativas bloqueadas nos primeiros três meses do ano. O Mapa da Fraude 2025 identificou 2,8 milhões de tentativas em 2024, com ticket médio de R$ 1.072,33. Embora esses dados não sejam específicos de fraudes em devoluções, revelam um ecossistema ativo de crime digital.
Na Black Friday de 2024, foram interceptadas 32,4 mil tentativas de golpes que somavam R$ 51,8 milhões apenas no período de promoções, segundo a Serasa Experian. O ticket médio das tentativas de fraude foi de R$ 1.550,66 — mais que o triplo do valor de uma compra legítima. Os millennials (nascidos entre 1980-1995) foram os mais visados, concentrando 30% das tentativas, seguidos pela geração Z com 23,4%.
Com 17,8 mil tentativas de fraude registradas apenas até o meio-dia do sábado pós-Black Friday de 2024 (totalizando R$ 27,6 milhões bloqueados), fica claro que a janela de ataque se estende por dias após o evento.
| ⚠️ PANORAMA 2025 | |
| Tentativas de fraude (Q1/2025) | 3,5 milhões |
| Previsão de movimentação na Black Friday | R$ 13,34 bilhões |
| Pessoas que não identificam golpes com IA | 63% |
| Millennials como alvo | 30% dos ataques |
| Pico de atividade fraudulenta | Durante a madrugada |
| Prejuízo médio por consumidor | R$ 2.903,96 |
O fator de complexidade em 2025: inteligência artificial
Pesquisa do Reclame Aqui revela que 63% dos consumidores brasileiros não conseguem identificar golpes feitos com IA, e 20% já foram vítimas de fraudes durante a Black Friday.
Sites falsos gerados por IA, influenciadores deepfake e anúncios pagos que imitam grandes varejistas tornaram-se indistinguíveis de comunicações legítimas, aumentando exponencialmente a efetividade dos ataques. Fraudadores acompanham o movimento do consumidor: quando ele acelera, eles também — mas com ataques concentrados na madrugada, quando o volume de transações cai e a vigilância diminui.
Categoria 1: fraudes físicas de devolução
Phishing de falsa atualização de entrega
Cliente aguarda entrega, fraudador envia SMS/e-mail/WhatsApp falso usando logo de Correios/transportadora, informa “encomenda retida” ou “taxa de liberação pendente” (R$ 5-20), inclui código de rastreamento real (roubado de outras vítimas). Cliente clica acreditando ser legítimo, site falso solicita PIX. Cliente paga.
Golpe do falso reembolso de frete
Cliente recebe produto normalmente, fraudador entra em contato via WhatsApp/Telegram alegando ser da loja, informa “você pagou frete a mais, tem direito a reembolso de R$ 15-50”, envia link para “cadastro de reembolso”. Link instala RAT mobile (acesso remoto) ou direciona para phishing, captura credenciais bancárias, tokens, senhas. Fraudador acessa conta bancária real.
Phishing de pesquisa de satisfação premiada
Cliente recebe produto, fraudador envia e-mail/SMS “pesquisa de satisfação” com logo da loja, promete “voucher de R$ 100” ou “brinde exclusivo”, cliente responde perguntas simples. Sistema informa “parabéns, para receber pague frete simbólico de R$ 9,90”. Cliente insere dados de cartão. Fraudador captura dados, realiza pequenas transações teste, vende cartão validado na dark web (R$ 50-200 por cartão). Cliente nunca recebe voucher.
Golpe do falso vendedor (negociação fora da plataforma)
Após compra em marketplace, fraudador entra em contato se passando por vendedor oficial, alega “problema no sistema de pagamento da plataforma”, solicita pagamento direto via PIX/boleto para “garantir o envio”, envia comprovante falso de postagem. Cliente paga novamente, fraudador desaparece. Marketplace nega responsabilidade por transação externa. Cliente perde: valor pago ao fraudador + produto nunca enviado + impossibilidade de contestação formal.
Golpe do vale-presente falso
Cliente recebe mensagem sobre “prêmio por compra na Black Friday — vale-presente de R$ 500”, link solicita dados pessoais e “confirmação de CPF via foto de documento”, fraudador usa documentos para abrir contas laranjas, solicitar empréstimos, realizar fraudes em nome da vítima.
Smishing de entrega urgente
SMS com urgência extrema: “Sua encomenda será devolvida em 2h se não confirmar dados. Link: [malicioso]”. Cliente clica por medo de perder compra. Link solicita senha do banco “para confirmar identidade”.
Golpe do suporte técnico falso
Cliente relata problema com produto em rede social, fraudador responde se passando por suporte oficial, solicita acesso remoto ao dispositivo para “resolver o problema”, instala malware, rouba senhas salvas, acessa contas bancárias.
Categoria 2: fraudes de estorno e pagamento
Estorno abusivo (chargeback fraud)
Fraudador compra produto de alto valor com cartão próprio, recebe produto (entrega confirmada), aguarda 7-14 dias, contesta cobrança na operadora alegando “compra não autorizada” ou “não recebi”. Operadora favorece consumidor por padrão e força estorno automático.
Fraude de devolução com dados legítimos (auto-fraude)
O fraudador usa CPF e dados reais (conta com histórico positivo), compra eletrônico de R$ 2.500, recebe produto, alega “não recebimento” ao SAC 3 dias depois, simultaneamente reclama à transportadora criando confusão, abre chargeback. Rastreamento mostra “entregue” mas fraudador argumenta “entregaram no endereço errado”. Lojista reembolsa por pressão. Contexto Brasil: as fraudes no PIX causaram prejuízos de R$ 4,9 bilhões em 2024, com aumento de 70% em relação a 2023. Das marcações de fraude, 38% eram contas do próprio fraudador e 27% contas-laranja.
Fraude de triangulação
Fraudador cria anúncio falso em marketplace, cliente compra e paga via PIX ao fraudador, fraudador usa cartão roubado de terceiro, compra mesmo produto em loja legítima informando endereço do cliente como entrega. Lojista envia produto ao cliente (tudo parece normal). Titular do cartão roubado contesta.
Chargeback de devolução (falso defeito)
Fraudador compra, recebe, alega defeito e solicita devolução ao SAC. Lojista aprova e aguarda produto. Fraudador NÃO envia produto de volta mas abre pedido de estorno alegando “já devolvi”, apresenta código de rastreamento falso ou de outro envio. Operadora processa estorno.
Devolução fantasma
Fraudador compra com cartão roubado de terceiro, recebe produto, solicita “devolução legítima” alegando defeito, fornece dados bancários de conta controlada (laranja). Lojista aprova e agenda reembolso. Fraudador NÃO envia produto de volta. Titular do cartão contesta transação original.
Categoria 3: fraudes de invasão e automação
Wardrobing (aluguel disfarçado)
O fraudador compra roupa de festa ou terno de alto valor, usa em evento removendo etiquetas com cuidado, e devolve dentro dos 7 dias do direito de arrependimento alegando “não serviu bem”. O lojista processa a devolução sem inspeção rigorosa e reembolsa valor integral. Impacto no Brasil: especialmente comum em categorias de moda e vestuário, que já registram taxas de devolução de até 18% das compras.
Empty Box Fraud (caixa vazia)
O golpe mais audacioso: fraudador compra eletrônico de alto valor (iPhone, PlayStation), remove o produto, coloca objeto com peso similar (tijolo, batata, água), lacra a caixa novamente e devolve alegando “defeito”. O lojista aceita via transportadora, abre caixa no centro de distribuição dias depois e descobre a fraude.
Variante sofisticada: fraudador pesa o produto original com precisão, substitui por objetos com peso exato (±50-100g da margem), lacra profissionalmente. Sistema automatizado do CD valida peso e aprova reembolso sem inspeção manual. Descoberta acontece apenas dias depois.
Counterfeit Swap (troca por falsificação)
Fraudador compra produto autêntico de marca (tênis Nike, bolsa de grife), adquire versão falsificada idêntica, mantém o original e devolve a falsificação com embalagem original. Lojista aceita sem verificação de autenticidade, reembolsa, e só descobre ao tentar revender.
Troca de serial number
Compra eletrônico premium (notebook, GPU RTX), possui produto similar defeituoso, adultera serial number do produto defeituoso (gravação/etiqueta falsa), mantém o novo e devolve o defeituoso. Lojista verifica serial apenas visualmente, reembolsa, e descobre fraude ao cruzar com base de dados do fabricante.
Bracketing (compra em massa com devolução seletiva)
Fraudador compra 8 variações do mesmo item (tamanhos/cores diferentes) em pedido único, experimenta todos em casa, mantém apenas 1 item, devolve 7 alegando “não agradaram”.
Manipulação de recibos (temporal arbitrage)
O fraudador compra produto na Black Friday com 60% desconto (R$ 300), aguarda término da promoção (preço volta a R$ 750), altera recibo digitalmente ou usa recibo de terceiro, devolve 5 dias depois solicitando reembolso pelo valor de tabela (R$ 750). Lojista processa sem validar data/valor original.
Devolução com item danificado propositalmente
Fraudador recebe produto funcional, danifica intencionalmente (quebra peça interna, remove componente), devolve alegando “defeito de fábrica”. Lojista aceita sem perícia técnica, reembolsa, envia para assistência. Fabricante identifica dano intencional e recusa garantia.
Serial Returner (devolvedor profissional)
Fraudador mantém histórico crônico de devoluções (>30% das compras em 90 dias), usa sistema de devolução como “aluguel gratuito”, compra produtos sazonais (câmera para viagem, roupa para festa), usa intensamente, devolve dentro do prazo com justificativas vagas. Lojista aceita por política de “satisfação garantida”.
Categoria 4: phishing e engenharia social pós-compra
Account takeover para devolução
Fraudador invade conta legítima (phishing, credential stuffing), realiza compras usando dados salvos, altera endereço para local controlado, intercepta produto, solicita devolução/reembolso, altera dados bancários para conta controlada. Lojista processa reembolso. Cliente legítimo descobre invasão dias depois.
Credential stuffing pós-Black Friday
Fraudador obtém listas de credenciais vazadas de sites de phishing da Black Friday, usa bots automatizados para testar credenciais em múltiplas plataformas (bancos, fintechs, e-commerces), identifica contas com acesso bem-sucedido (reuso de senha), invade conta bancária, altera dados de segurança, solicita empréstimos, realiza PIX, usa e-mail invadido para phishing em contatos da vítima.
Exploit de automação (bot attack)
Fraudador identifica sistema com aprovação automática de devolução, programa bots para requisições massivas, explora race conditions (janela de milissegundos entre validações), envia centenas de solicitações simultâneas. Sistema automatizado aprova devoluções antes de detectar anomalia e processa reembolsos em massa. Descoberta acontece horas/dias depois.
Sinais de alerta críticos
Para consumidores:
- Urgência extrema (“confirme em 24h ou perderá tudo”);
- Solicitação de dados sensíveis (senha, CVV, códigos de verificação);
- Contato por canais não oficiais (WhatsApp de número desconhecido);
- Ofertas boas demais (“iPhone 15 por R$ 500”);
- Erros sutis em URLs (amaz0n.com, c0rreios.com);
- Pedidos de pagamento fora da plataforma;
- QR Codes em locais suspeitos (impressos sobre adesivos).
Para empresas:
- Taxa de devolução >30% em conta específica;
- Alteração de dados bancários imediatamente antes de solicitar reembolso;
- Múltiplas devoluções do mesmo CPF em curto período;
- Requisições massivas de devolução em horários atípicos (madrugada);
- Devoluções sem histórico prévio de compras;
- Peso inconsistente em devoluções de eletrônicos.
Estratégias de proteção
Para empresas, a prioridade imediata é visibilidade e controle. Implemente audit trail completo de todas as transações de devolução e configure rate limiting agressivo nas APIs de devolução — no máximo 3 requisições por hora por usuário.
Bloqueie aprovações automáticas para valores acima de R$ 500 e monitore tentativas massivas de credential stuffing. Em 30 dias, estabeleça MFA obrigatório para devoluções acima de R$ 1.000 e implemente machine learning para detectar padrões suspeitos: múltiplas devoluções do mesmo CPF, alteração de dados bancários imediatamente antes de solicitar devolução, devoluções sem histórico prévio de compras.
A médio prazo, considere perícia técnica obrigatória para eletrônicos devolvidos e bloqueio de contas com taxa de devolução superior a 30% em 90 dias.
Para consumidores, a regra de ouro é simples: nunca clique em links sobre pedidos recebidos por e-mail, SMS ou WhatsApp — sempre digite o endereço do site diretamente no navegador. Correios e transportadoras nunca cobram taxas extras por mensagem, e nenhuma empresa legítima solicita senha, CVV ou códigos de verificação por qualquer canal.
Configure limite diário reduzido para PIX durante o período de compras (R$ 500 é suficiente) e ative alertas para todas as transações bancárias, inclusive estornos. Ative autenticação de dois fatores em todas as contas de e-commerce e bancos — essa é a defesa mais efetiva contra invasões. Ao solicitar devoluções, acesse portais apenas pelo site oficial, tire fotos do produto antes de devolver e guarde todos os protocolos.
Se algo gera desconforto ou pressão excessiva, pause. A fraude depende da pressa — sua melhor defesa é a calma. Trinta segundos de reflexão podem evitar prejuízos de milhares de reais. Em 2025, com 63% dos brasileiros incapazes de identificar golpes com IA, desconfiar deixou de ser paranoia e passou a ser prudência.
Sobre a INGENI
A INGENI é o laboratório de inteligência de ameaças da Redbelt Security, focado no mapeamento e análise do cenário brasileiro de ciberataques. Desenvolvida para atender gestores de segurança que precisam traduzir risco técnico em exposição real de negócio, a INGENI entrega inteligência contextualizada sobre grupos criminosos ativos em setores específicos do mercado nacional.
Entregas
A INGENI produz relatórios de Inteligência em Modelagem de Ameaças Avançada, documentando IoCs (Indicadores de Comprometimento), TTPs (Táticas, Técnicas e Procedimentos) correlacionados ao framework MITRE ATT&CK, com análise direcionada ao contexto operacional brasileiro. O objetivo é permitir que líderes de segurança justifiquem investimentos com base em riscos mensuráveis e demonstrem impacto direto sobre receita, operação e reputação corporativa.
Paralelamente, a INGENI mantém um canal de alertas em tempo real sobre campanhas ativas de fraude via WhatsApp e ligações telefônicas, com distribuição aberta para proteção ampla do mercado.
Para ter acesso aos relatórios e a mais informações sobre a INGENI, entre em contato com um consultor da Redbelt Security.
