Pagamento para pedágio free flow era golpe na busca do Google

Por Fetrabens | 22 de janeiro de 2026

Compartilhe:

Criminosos estavam se aproveitando do novo sistema de pedágio free flow no estado de São Paulo para aplicar golpes em vítimas. O golpe consistia em um site falso, para o pagamento das taxas do pedágio, que aparecia como o primeiro resultado de pesquisas do Google e mostrava valores abusivos após o usuário inserir a placa do carro.

A técnica maliciosa envolve o abuso do Google Ads para patrocinar sites de phishing e roubar dinheiro de vítimas. O TecMundo entrou em contato com o Google para um posicionamento, que se limitou a comentar: “Temos políticas claras que definem como anunciar no Google Ads. Tais políticas incluem, por exemplo, proibição de anúncios desonestos, que possam enganar outros usuários. Quando identificamos uma violação, agimos imediatamente".

“No Brasil, apenas em 2024, 201 milhões de anúncios foram removidos e 1,3 milhão de contas de anunciantes foram suspensas no ano passado, conforme divulgado no nosso Relatório de Segurança em Anúncios. Oferecemos uma ferramenta para que os usuários possam contribuir e também denunciem violações”.

Como funciona o golpe

O site aparecia como resultado patrocinado no Google, o que deixava-o em posição de destaque nas páginas de pesquisa, para ganhar a confiança dos usuários. Além disso, o endereço pedia que o internauta inserisse a placa do carro e aceitasse os termos de uso e política de privacidade do sistema.

Ao inserir a placa do carro, o sistema indicava a marca, modelo, ano cor e chassi do carro, além do valor que a vítima supostamente teria que pagar de pedágio. Para dar o sentimento de urgência, a mensagem também dava um prazo para o pagamento, ameaçando encaminhar a infração relacionada ao veículo para o Detran.

Além disso, mostra-se uma mensagem com a lei que prevê multa de evasão de pedágio, que resulta em um pagamento de R$ 195,23 e 5 pontos na Carteira Nacional de Habilitação (CNH).

O golpe combina várias características de campanhas sofisticadas, como o abuso do Google Ads e manipulação de SEO para que o site fraudulento apareça nos primeiros resultados de busca, técnicas de engenharia social, incluindo phishing (imitação de página oficial do governo), senso de urgência através de prazos e ameaças de multa, e uso de dados reais dos veículos para conferir credibilidade à fraude.

Vazamento do Detran expôs 33 milhões de motoristas

Em novembro de 2024, credenciais de acesso ao Sistema de Certificação de Segurança Veicular (SisCSV), utilizado pelo Detran para vistorias veiculares, vazaram e permitiram que criminosos consultassem informações pessoais e de veículos de aproximadamente 33 milhões de brasileiros. O incidente foi denunciado ao site TecMundo e confirmado pelo Serviço Federal de Processamento de Dados (Serpro).

O vazamento expôs dados sensíveis como nome completo, CPF, endereço residencial, Renavam, placas de veículos, modelo, cor, fotos dos automóveis, além de informações sobre data e localização das vistorias. A falha de segurança atingiu motoristas de todo o país, deixando milhões de brasileiros vulneráveis a golpes direcionados.

O problema teve origem na ausência de autenticação de dois fatores no sistema. Criminosos utilizaram credenciais vazadas de funcionários para acessar o sistema sem qualquer barreira adicional de segurança.

Esse tipo de ataque, conhecido como "credential stuffing", permitiu que os dados fossem extraídos e posteriormente comercializados em painéis do crime, onde informações pessoais são vendidas por valores entre R$ 10 e R$ 200 para aplicação de diversos tipos de fraudes.

Site está fora do ar

O site falso aproveitou a falta de informações divulgadas sobre o novo pedágio para fazer suas vítimas antes mesmo do novo modelo de cobrança entrar em vigor. Os veículos só passaram a ser cobrados a partir do dia 6 de dezembro, e agora o site, que desde ontem já estava marcado como suspeito, já está fora do ar.

Fonte: Tech Mundo