Nova Onda de Phishing via WhatsApp Foca em Vendedores de Marketplaces

O mercado de e-commerce brasileiro está em alerta máximo após a disseminação de uma nova e perigosa onda de ataques de phishing direcionada aos vendedores de marketplaces. Diferente dos golpes tradicionais que visam consumidores, este novo esquema foca em obter acesso às contas de sellers (vendedores) para desviar pagamentos, alterar dados bancários ou até mesmo utilizar o estoque do vendedor para fraudes.

Os ataques ocorrem primariamente via WhatsApp. Os fraudadores se apresentam como membros do 'Suporte Técnico' ou 'Equipe de Segurança' de grandes plataformas (como Mercado Livre, Shopee ou Magazine Luiza). Utilizando logotipos e linguagem corporativa convincente, eles alegam que a conta do vendedor precisa de uma 'atualização urgente de segurança' ou 'validação regulatória' devido a novas normas do Banco Central ou da Receita Federal.

A tática mais comum envolve o envio de um link malicioso ou a solicitação direta de informações confidenciais, incluindo senhas, códigos de verificação de dois fatores e, crucialmente, chaves de API (Interface de Programação de Aplicações) que são usadas para integrar sistemas de gestão de estoque e ERPs. Uma vez que o golpista obtém a chave de API, ele pode manipular preços, criar anúncios falsos ou, o mais grave, alterar as informações bancárias de recebimento dos pagamentos das vendas.

As plataformas de marketplace emitiram comunicados urgentes alertando os vendedores para que nunca compartilhem senhas ou chaves de API por aplicativos de mensagens. A regra de ouro é: o suporte oficial de marketplaces nunca solicita informações sensíveis por WhatsApp ou SMS. Qualquer comunicação crítica deve ser verificada diretamente no painel oficial do vendedor na plataforma. Para os pequenos e médios empresários, a perda de acesso à conta pode significar a paralisação total das operações e prejuízos financeiros irrecuperáveis. A recomendação é desconfiar de qualquer contato não solicitado, mesmo que pareça legítimo, e sempre validar a identidade do contato através dos canais oficiais.