Nos últimos anos, a fraude deixou de ser apenas uma questão de vírus, phishing ou intrusões em redes: está se movendo para o mundo real. Os intervenientes maliciosos aprenderam a explorar serviços legítimos e elementos da infra-estrutura física para construir cadeias de fraudes que são baratas de operar, escalável e difíceis de detectar se são analisadas a partir de uma única lente. Já não basta proteger servidores e senhas: a superfície de ataque inclui casas, caixas e processos projetados para o conforto cidadã.
Um exemplo revelador que identificaram pesquisadores e empresas de inteligência em ciberameaças é a estratégia baseada em endereços residenciais vazios – os chamados “drop addresses” – que os defraudadores usam para interceptar correspondência valiosa. Em grandes traços, a metodologia aproveita informações públicas (listados imobiliários, anúncios, datas de mudança), serviços postais digitais que permitem ver ou redireccionar envios, e documentação falsa ou dados comprados para completar verificações. O resultado é um fluxo de trabalho que mistura inteligência de fontes abertas com manipulação do mundo físico para obter acesso persistente a cartas, cartões ou notificações que contêm credenciais ou códigos úteis para fraudes posteriores.
Os atores buscam direções que ofereçam baixa rotação de ocupantes ou que estejam temporariamente desocupadas: propriedades anunciadas recentemente em portais imobiliários ou imóveis que levam tempo no mercado podem se tornar objetivos. Essa fase de “reconhecimento” aproveita a abundância de dados disponíveis online mais do que ferramentas sofisticadas de intrusão digital. A sofisticação aqui não está no malware, mas na coordenação entre canais digitais e operações físicas.
Uma vez identificada o endereço, os abusadores recorrem a serviços postais digitalizados que oferecem vistas prévias do correio ou facilitam o reenvio de envios. Serviços como o Relatóriod Delivery permitem que o titular veja, desde a sua conta, imagens digitais das cartas recebidas e o acompanhamento de pacotes; isto converte o correio numa fonte de inteligência: se o atacante conseguir ativar esses serviços sobre o endereço-alvo, você pode saber antecipadamente quando chega correspondência sensível e planejar a coleta ou reenvio. Você pode consultar como funciona esse serviço na web oficial do serviço postal dos Estados Unidos: USPS Relatóriod Delivery.
A escalada para acesso contínuo implica, em muitos casos, solicitar mudanças de direção ou ativar serviços de reenvio permanente. Esses mecanismos estão pensados para pessoas que se mudam e, geralmente, incluem controles (um pequeno pagamento on-line, verificação vinculada à direção ou apresentação de identificação física). No entanto, quando a verificação se baseia em informações que podem ser produzidas ou compradas, ou em processos que são aplicados de forma inconsistente, surgem vetores de abuso. Um reenvio mal autorizado converte uma intervenção ocasional numa porta aberta permanente ao fluxo de correspondência.
A transição para a persistência é completa quando são utilizados serviços de estaleiros ou caixas controlados por identidades falsas, documentos impressos fraudulentos ou dados pessoais adquiridos em mercados ilícitos. Isto reduz a necessidade de voltar ao domicílio físico e permite ao ator manter acesso contínuo a facturas, extractos ou notificações de segurança que servem para sequestrar contas bancárias, abrir linhas de crédito a nome da vítima ou completar verificações que exigem receber um código por correio. Em suma, o controle de uma direção física pode ser a peça que conecta uma fraude digital com sua culminação no mundo real.
As operações descritas costumam incorporar uma camada humana adicional: terceiros que, em troca de uma pequena soma, recolhem correspondência ou mantêm a aparência de ocupação de um imóvel para não chamar a atenção no bairro. Este uso de “mulas postais” não só dispersa a responsabilidade, mas torna mais difícil rastrear os organizadores, que podem permanecer ocultos após redes e pagamentos anônimos.
Esses métodos não são meras hipóteses: dados oficiais e relatórios mostram um aumento no roubo de correio e nas fraudes ligadas a redireções. A U.S. Postal Inspection Service tem documentado aumentos notáveis em roubos de correspondência nos últimos anos e tem relacionado estes fatos com montantes significativos de fraude financeira associado a cheques e documentos interceptados; seu relatório sobre tendências e estratégias analisa estas dinâmicas em detalhes: U.S. Postal Inspection Service — Mail Theft Strategy. Além disso, a Comissão Federal do Comércio (FTC) oferece recursos práticos sobre como o roubo de identidade ocorre e quais medidas podem tomar as vítimas: FTC — Informações sobre roubo de identidade.
A circulação de guias e “tutoriais” em fóruns clandestinos e canais de mensagens facilitou a replicação dessas táticas. Plataformas onde se trocam playbooks, credenciais roubadas e serviços de documentação falsa permitem que tacticistas menos especialistas executem campanhas de maior escala. Para as organizações de segurança isso implica um desafio diferente: os sinais de risco relevantes aparecem em domínios heterogêneos —listados imobiliários, pedidos postais, fornecedores de buzones, fóruns de mercado ilícito — e devem se correlacionar para detectar padrões suspeitos.
O que podem fazer cidadãos e empresas para reduzir a exposição? No plano individual, a opção mais segura é minimizar a dependência do correio físico para comunicações sensíveis: optar por estados e notificações eletrônicas quando possível, e usar caixas com fechadura ou serviços de entrega seguros. Registar serviços como Relatóriod Delivery sob controlo próprio e rever notificações de alterações de endereço ou reenvio pode ajudar a detectar manipulações precoces. É igualmente importante informar imediatamente qualquer indício de roubo ou reenvio não autorizado às autoridades postais competentes; nos Estados Unidos, a U.S. Postal Inspection Service oferece vias para denunciar roubos de correspondência: Reportar roubo de correio — USPS Inspection Service.
Para empresas e instituições financeiras, a resposta requer ampliar o olhar tradicional de cibersegurança. Já não é suficiente monitorar acessos a contas online: é necessário incorporar sinais externos como mudanças de direção recentes, uso incomum de redireções postais, padrões de criação de caixas virtuais ou recorrência de endereços que aparecem em pedidos relacionados a fraudes. Correlacionar eventos entre domínios—infraestrutura financeira, registros de e-mail, dados de moradia pública e fontes de inteligência sobre mercados ilícitos — chave para detectar ataques híbridos.
Convém igualmente melhorar os controlos de verificação de identidade associados aos serviços postais e aos estaleiros, introduzir verificações adicionais para alterações de direcção que afectem as contas financeiras e facilitar canais de alerta rápido entre fornecedores postais e entidades susceptíveis de fraude. A cooperação entre sectores — bancos, plataformas imobiliárias e empresas de segurança — aumentaria significativamente a capacidade de detecção e mitigação de tais operações.
A lição principal é que o risco já não se circunscreve a exploits técnicos: as redes criminosas estão construindo fluxos de fraude combinando dados abertos, procedimentos concebidos para o conforto e atores do mundo físico. Proteger exige repensar a defesa como um esforço transversal que inclua o digital e o material, e compartilhar sinais entre organizações para que uma mudança de direção ou uma casa suspeita não passe despercebida.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...