“Cenário procupante”: como é o golpe envolvendo programas de milhas

Uma pesquisa da NordVPN, em parceria com o aplicativo de eSIM internacional Saily, revelou que contas de programas de fidelidade de companhias aéreas e redes hoteleiras estão sendo vendidas livremente na dark web.

O estudo identificou um crescimento expressivo nesse mercado ilegal, com perfis roubados, alguns com centenas de milhares de milhas, comercializados por valores que vão de poucos centavos de dólar até 200 dólares. No setor hoteleiro, bancos de dados completos podem chegar a 3 mil dólares.

Como é o golpe envolvendo programas de milhas

À primeira vista, os programas de fidelidade parecem inofensivos. Milhas, pontos, upgrades e diárias grátis soam como benefícios extras. Mas é justamente aí que está o problema: para golpistas, essas contas viraram moeda valiosa, e fácil de explorar.

Tudo começa com o acesso indevido às contas. Criminosos usam três métodos principais: phishing (e-mails ou mensagens falsas que imitam companhias aéreas e hotéis), vazamentos de dados e o chamado credential stuffing. Nesse último caso, senhas roubadas de outros serviços são testadas automaticamente em milhares de contas de milhas, explorando o hábito comum de reutilizar a mesma senha.

Quando conseguem entrar, o prejuízo não é imediato nem barulhento. Pelo contrário. Os golpistas agem de forma silenciosa, usando as contas exatamente como um cliente comum faria: reservam passagens, emitem vouchers, compram upgrades ou transferem pontos para terceiros. Como tudo parece uma transação legítima, o sistema não acusa fraude, e o usuário só percebe quando tenta usar suas milhas e descobre que elas desapareceram.

O passo seguinte acontece fora do alcance das vítimas: a venda dessas contas na dark web. Segundo a pesquisa da NordVPN, perfis com centenas de milhares de milhas são negociados por valores irrisórios, que podem ir de poucos centavos até 200 dólares. Já bancos de dados completos de hotéis, com informações pessoais sensíveis, chegam a custar até 3 mil dólares, como explicado antes.

Esses dados ficam ainda mais valiosos quando incluem nome completo, e-mail, telefone, histórico de viagens e preferências do usuário. Quanto mais informações, maior o poder do criminoso, e maior o risco para quem foi atacado.

No Brasil, onde programas como Latam Pass, Smiles e TudoAzul são amplamente usados, o cenário não é diferente. Durante períodos de alta demanda, como férias e datas comemorativas, os golpes se intensificam, aproveitando o grande volume de acessos e movimentações.

O resultado é um golpe discreto, difícil de rastrear e altamente lucrativo, que transforma benefícios acumulados ao longo de anos em prejuízo quase invisível, até ser tarde demais.

— A indústria de viagens permanece um alvo valioso devido ao grande volume de dados pessoais e financeiros sensíveis que armazena. Durante períodos de maior movimentação, como o Natal, o cenário se intensifica e fica preocupante, e consumidores precisam reforçar a segurança das suas contas — afirma Marijus Briedis, CTO da NordVPN.

Você vai querer sobre: O que significa “rage bait”, “parassocial” e “67”? Entenda os termos populares da Gen Z e Alpha.

*Sob supervisão de Pablo Brito