Sumário executivo

À medida que a temporada de compras natalinas se aproxima, Sexta-feira negra e a Cyber Monday criam um ambiente em que os consumidores buscam ativamente grandes descontos em lojas on-line desconhecidas, tornando-os os principais alvos de operações de lojas falsas em grande escala. Durante essa análise, dois grupos potencialmente coordenados de vitrines com temas natalinos foram identificados por meio uso suspeito de recursos e modelos de sites recorrentes. O primeiro cluster inclui o que parece ser um grande concentração de domínios tiposquatados com o tema da Amazon, embora não seja exclusivamente relacionado à Amazon, e compreende mais de 750 sites interconectados usando banners de férias uniformes, mensagens de urgência e indicadores de confiança enganosos. O segundo cluster abrange um amplo ecossistema de.shop e inclui domínios que parecem imitar marcas de consumo conhecidas, como Apple, AMD, Dell, Cisco, Logitech, Toshiba, Ray-Ban, Nivea Men, Paula's Choice, Rare Beauty, SK Hynix, 8BitDo, Viomi, Tim Hortons, Aetna, Ahava, Olympus, Snapple, Fiio, Gotrax, Meetion, Yale, Xiaomi, Jo Malone, Fujifilm, Amazfit, COSRX, Samsung, Garcia Min, Shark, HP, Seagate, e Omron - com base em padrões de nomenclatura e características compartilhadas do modelo.

Ao examinar o os 1.000 principais domínios desse segundo cluster, uma estrutura modal consistente da Black Friday foi observada em vários sites, indicando reutilização generalizada do mesmo modelo associado a fraudes. Embora vários desses domínios já tenham sido retirados por registradores e provedores de hospedagem, muitos permanecem ativos, ressaltando a escala, a automação e o calendário sazonal dessas campanhas de lojas falsas focadas em festas de fim de ano e o risco contínuo que elas representam para compradores desavisados durante períodos de vendas de alto tráfego.

É provável que esses sites sejam ativados durante os períodos de férias para maximizar o tráfego das vítimas e o volume de transações.

Cluster A

1. Descoberta inicial via Dorking (com base em golpes anuais anteriores de lojas falsas)
   → Consultas direcionadas resultaram em uma vitrine falsa:
   atoztreasure [.] com

2. Uso de recursos de férias em HTML “Flipclock”
   Uma estrutura CSS compartilhada que permite banners específicos para feriados e também mostrando o recurso que foi usado para identificar os outros mais de 750 domínios, ou seja, cdn.cloud360 [.] topo :

Características do modelo e análise do site

‍

‍

Crachás de confiança falsos, mensagens de escassez (“Rush Buying”, “Tight Inventory”) e pop-ups fabricados de compras recentes são usados para pressionar as vítimas a concluírem transações fraudulentas.

‍

As páginas de checkout capturam detalhes completos de cobrança e pagamento, permitindo o roubo financeiro direto por meio de operações fraudulentas de lojas falsas na Black Friday

Utilização de sites da Shell

Os clusters de phishing utilizam sites comerciais de fachada para processar transações com PayPal e cartões de pagamento, reduzindo a probabilidade de detecção de fraudes quando a vítima finaliza a compra. Por exemplo, no caso de amaboxreturns [.] com, o redirecionamento de pagamento ocorre por meio do georgmat [.] com — um domínio que permanece inalterado em plataformas de reputação de segurança, como o VirusTotal — permitindo que o invasor conclua transações financeiras fraudulentas sem acionar imediatamente os controles de risco.

‍

‍

‍

‍

‍

‍

‍

Registros WHOIS para georgmat [.] com indique hospedagem por meio de um provedor com sede na China (Alibaba Cloud Computing Ltd.) com detalhes de registro listando Guangdong como o estado administrativo. A incompatibilidade geográfica entre a infraestrutura e as falsas marcas de varejo dos EUA aumenta a suspeita e apóia a avaliação de que o domínio está sendo aproveitado como parte de um esquema fraudulento de redirecionamento de pagamentos com tema natalino.

‍

Lista de alguns sites da Shell coletados

• www.thewonsel, com
• www.kinwony, com
• www.hwujo, com
• www.qinsony.com
• www.pasony, com
• www.loyoyi, com
• www.qiotong, com
• www.georgmat, com
• www.tisuny, com
• www.hiwoji, com
• www.sintayo, com
• www.howokin, com

Pivô:

Uma referência de CDN suspeita compartilhada - cdn.cloud360 [.] top (Uso de uma CDN com TLD conhecida por distribuir malware - Fonte) - foi identificado no primeiro cluster. Essa CDN atuou como uma hospedeira de recursos comum, fornecendo ativos com temas natalinos, banners, ícones e arquivos de modelo reutilizados em toda a rede de vitrines fraudulentas.

Ao girar em torno desse indicador único de CDN, a investigação descobriu Mais de 750 domínios de loja potencialmente falsos aproveitando os mesmos ativos hospedados e componentes de layout, indicando que eles têm uma alta probabilidade de pertencer a uma empresa gerenciada centralmente ou amplamente distribuída infraestrutura de kit de phishing com base nos indicadores mencionados acima.

Outro forte indicador baseado em modelos surgiu do recorrente conteúdo HTML/CSS do cronômetro de férias flipclock, que troca dinamicamente banners para eventos como Black Friday, Cyber Monday, Natal e Ação de Graças. Quando combinado com o FOFA, pesquisa por hashes de favicon da Amazon correspondentes, esse padrão forneceu uma forma adicional de emergir possíveis domínios que se passem pela Amazon.

A sobreposição entre ativos de flipclock com tema natalino, hashes de favicon adjacentes à Amazon e a reutilização consistente de modelos em vários domínios sugere fortemente um amplo conjunto de sites digitados provavelmente destinados a imitar a Amazon durante os períodos de pico de compras.

‍

Consulta FOFA: (body="flipclock.blackfriday {color: #ff2ef5} .flipclock.cyberMonday {color: #00afc8} .flipclock.christmas {color: #e42f2d}”) && (icon_hash="226762681" || icon_hash="669141665")

Digitação de marcas do primeiro cluster, revelando a possibilidade de se passar por domínios falsos

• www.amaboxhub [.] com
• www.amaboxmarket [.] com
• www.amaboxmarketplus [.] com
• www.amaboxmarkets [.] com
• www.amaboxpallet [.] com
• www.amabxestore [.] com
• www.amafastsale [.] com
• www.amaluckybox [.] com
• www.amaluckybx [.] com
• www.amanpalets.com
• www.amanwarehouse [.] com
• www.amapalettes [.] com
• www.amapalletmarket [.] com
• www.amapalletmarkets [.] com
• www.amapalletsales [.] com
• www.amapalletsreturn [.] com
• www.amastorages [.] com
• www.amasuprisepallet [.] com
• www.amawarehousebox [.] com
• www.amawarehousesale [.] com
• www.amawarehousex [.] com
• www.amawhsepallets [.] com
• www.amaxboxsalex.com
• www.amazbox.de [.] com
• www.amazgeheimnisbox [.] com
• www.amazhotsales [.] com
• www.amazonboxsaleus [.] com
• www.amaznbxstore.com
• www.amazonsalepallets [.] com
• www.amaznsbigsale [.] com
• www.amazonshop [.] com
• www.amaznsliquidation [.] com
• www.amazonpalletrush [.] com
• www.amazonreturnsbox [.] com
• www.amazpalette [.] com
• www.amazpalletsgift [.] com
• www.amazrpallets [.] com
• www.amazsaleboxus [.] com
• www.amazsalepalletus [.] com
• www.amazusboxes [.] com
• www.amazxpallets [.] com
• www.amzelectronicbox.com
• www.amzglobalpallets [.] com
• www.amzliquidationpallet [.] com
• www.amznbigsale [.] com
• www.amznboxsales [.] com
• www.amznpallet [.] com
• www.amznpalletmarket [.] com
• www.amznreturnsale [.] com
• www.amznsliquidation [.] com
• www.amznsmysterybox [.] com
• www.amazonboxshop [.] com
• www.amazonpaletten [.] com
• www.amzpaletten [.] com
• www.amzpalletliquidation [.] com
• www.amzreturenbox.com
• www.amzreturn [.] com
• www.amzreturnpallet [.] com
• amazonshome [.] com

‍

‍

Instantâneos mostrando esses domínios do primeiro cluster de phishing sendo sinalizados como maliciosos no VirusTotal, sugerindo que todos eles podem potencialmente fazer parte do mesmo kit de phishing.

‍

Outra ferramenta também sugere que os domínios desse cluster também pertencem a kits de phishing já disponíveis na Internet.

‍

Fonte: Validin.com 

Cluster B — [.] loja Fake Storefront Fraud Network

Ponto de entrada

→ Google Working (Com base em fraudes anuais anteriores em lojas falsas)

→ Identificado por meio do domínio: sunnysideupbakerysale.shop

Instantâneo do domínio inicial da loja falsa com banners chamativos de redução de preço para induzir urgência e levar as vítimas a comprar produtos fraudulentos e incorrer em perdas financeiras

Análise do site

Fluxos de pagamento fraudulentos coletam informações financeiras e de faturamento confidenciais, facilitando transações não autorizadas por meio de sites falsos de comércio eletrônico

‍

‍

Os detalhes pessoais e de cobrança são incorporados aos parâmetros de URL para agilizar o registro e a coleta de dados nos servidores do atacante.

As informações financeiras e de cartão de crédito são capturadas para transações fraudulentas e roubo de dados em massa, levando a graves perdas financeiras para as vítimas.

Essas lojas falsas exploram as vendas de fim de ano, como a Black Friday, atraindo usuários com grandes descontos e preços irrealisticamente baixos para maximizar a decepção e o lucro.

‍

‍

Pivô:

Usando o FOFA para dinamização baseada em infraestrutura e conteúdo, o campo corporal el-dialog Black Friday extraído do domínio falso inicialmente identificado serviu como um dos indicadores. Esse pivô retornou mais de 200.000 [.] domínios de lojas, dos quais a maioria foi descoberta potencialmente abusando da mesma estrutura de modelo e design de loja falsa com tema natalino, destacando a possível reutilização industrializada em grande escala de um kit de phishing no TLD .shop.

‍

Consulta FOFA: (body="<el-dialog” && body="black_friday” && body="black_friday_content” && body="left_image”)

‍

Nota: Os mais de 200 mil resultados do FOFA mostrados acima incluem domínios ativos e históricos. Essas entradas são exibidas com base em indicadores compartilhados, como estruturas HTML recorrentes, padrões comuns de conteúdo corporal e artefatos de modelo consistentes, em vez de comportamentos maliciosos confirmados para cada domínio individual. Dessa forma, os resultados representam possíveis lojas falsas ou vitrines fraudulentas, identificadas por sua semelhança com modelos conhecidos de golpes com temas natalinos.

Outro indicador-chave para identificar esses domínios falsos de lojas é um arquivo JavaScript recorrente presente nos sites maliciosos [.] de lojas. Embora o nome do arquivo seja gerado aleatoriamente para cada domínio, o conteúdo do corpo do script permanece idêntico, contendo a lógica central do comportamento do carrinho, do fluxo de compra e das operações fraudulentas de pagamento.

O hash SHA-256 desse conteúdo do corpo do JavaScript fornece uma assinatura altamente confiável para dinamização. Ao codificar e correlacionar esse modelo JS, grupos adicionais de domínios [.] shop podem ser descobertos. Essa dinâmica baseada em conteúdo permite a enumeração de vários sites de lojas falsas que reutilizam a mesma estrutura de fraude com tema natalino, apesar de diferentes nomes de arquivos, URLs ou mudanças superficiais.

‍

‍

Hash corporal SHA256: 095a3ebc77f4e46b3adda543b61d90b7d3f20b41532c07772edd31908d060bb2

‍

Lista de alguns domínios potencialmente falsos e falsificados do segundo cluster

• xiaomidea [.] loja (XIAomi)
• Jomalonesafe [.] loja (Jo Malone)
• Fujifilmsafe [.] loja (Filme Fuji)
• Amazfitsafe [.] loja (Amazônia)
• Cosexus [.] loja (CORSX)
• Samsung safe [.] loja (Samsung)
• Loja Garmin safe [.] (Garmin)
• sharksafe [.] loja
• loja Hpksafe [.]
• Seagatesafe [.] loja (Seagate)
• Omronsafe [.] loja (Omron)
• aiwasafe [.] loja
• akitassafe [.] loja
• akkosafe [.] loja
• alintorsafe [.] loja
• allegracesafe [.] loja
• allterrainsafe [.] loja
• Kenwood Safe.shop (Ken Wood)
• alovesafe [.] loja
• alpakaonline [.] loja
• alpensattelus [.] loja
• amazfitsafe [.] loja
• Amazon amazon basics online [.] loja (Amazônia)
• amdsafe [.] loja
• americansafe [.] loja
• Apple iPadus.shop (maçã)
• fiiosafe.shop
• snapplesales.shop
• skhynixsafe.shop
• gotraxsafe.shop
• LogitechSafe.shop (Logitech)
• meetonsafe.shop
• AMDSafe.shop (AMD)
• Dellasafe.shop
• fujitsusafe.shop
• CiscoSafe.shop (Cisco)
• aetnasafe.shop
• ahavasafe.shop
• 8 bits dosafe.shop (Do de 8 bits)
• Rayban Safe.shop (Ray Ban)
• diadorasafe.shop
• NiveAmenSafe.shop (Nivea)
• OlympusSafe.shop (Olimpo)
• paulaschoicefast.shop
• rarebeautysafe.shop
• timhortonssafe.shop
• Toshiba Fast.shop (Toshiba)
• westerndigitalsafe.shop
• yalesafe.shop
• viomisafe.shop
• uma loja premium safe [.]
• aqarasafe [.] loja
• aquafreshsafe [.] loja
• armitronsafe [.] loja
• arrissafe [.] loja
• loja arussafe [.]
• ascotsafe [.] loja
• aspectsafe [.] loja
• astroaisafe [.] loja
• atarisafe [.] loja
• loja atasus [.]
• atomysafe [.] loja
• atuvossafe [.] loja
• avantreesafe [.] loja
• avedasafe [.] loja
• avengerssafe [.] loja
• awarasafe [.] loja
• ayeshasafe [.] loja
• babygosafe [.] loja
• babylisssafe [.] loja
• babymoovsafe [.] loja
• badensafe [.] loja
• badusafe [.] loja
• bahcosafe [.] loja
• balancesafe [.] loja
• banquetfast [.] loja
• banquetusabst [.] shop
• barberbosssafe [.] loja
• barcosafe [.] loja
• barneysafe [.] loja
• baronsafe [.] loja
• bboxsalede [.] loja
• bcwsafe [.] loja
• beelinksafe [.] loja
• bellavitasafe [.] loja
• benadrylsafe [.] loja
• benfeisafe [.] loja
• berkshirestore [.] loja
• bernysafe [.] loja
• besteksafe [.] loja
• bestronsafe [.] loja
• bestwaysafe [.] loja
• bett1safe [.] loja
• beyerdynamicsafe [.] loja
• bhcosmeticssafe [.] loja
• bianyosafe [.] loja
• biggamesafe [.] loja
• bibisafe [.] loja
• billblasssafe [.] loja
• biliesales [.] loja
• billieusbst [.] loja
• bionairestore [.] loja
• bizzysafe [.] loja
• blackburnsafe [.] loja
• blackbutterflysafe [.] loja
• blackflagsafe [.] loja
• blackstonesafe [.] loja
• blindscontrol [.] loja
• loja blinksafe [.]
• blossomsafe [.] loja
• blueboxstore [.] loja
• bluemoonsafe [.] loja
• blueorangesafe [.] loja
• bluepetsafe [.] loja
• loja bluettisafe [.]
• bluewavesafe [.] loja
• loja bluntsafe [.]
• boaosafe [.] loja
• bodegasafe [.] loja
• bodhisafe [.] loja
• bodisafe [.] loja
• bodyguardsafe [.] loja
• bonessafe [.] loja
• bonidesafe [.] loja
• bonsafe [.] loja
• bontecsafe [.] loja
• borosafe [.] loja
• boxercraftsafe [.] loja
• bradleysafe [.] loja
• bravensafe [.] loja
• brennenstuhlsafe [.] loja
• bricosafe [.] loja
• bridgestonesafe [.] loja
• brpsafe [.] loja
• brynsafe [.] loja
• bsnsafe [.] loja
• btfbmsafe [.] loja
• bublysafe [.] loja
• bubssafe [.] loja
• buglessaleus [.] loja
• bulovasafe [.] loja
• buoysafe [.] loja
• burstsafe [.] loja
• busybeesafe [.] loja
• busysafe [.] loja
• butterfingersafe [.] loja
• bwesafe [.] loja
• por benyarsafe [.] shop
• camechosafe [.] loja
• capturesafe [.] loja
• careallsafe [.] shop
• carnivalsafe [.] loja
• cartmansafe [.] loja

‍

‍

Infraestrutura (blocos de rede) de ambos os clusters

Infraestrutura de hospedagem compartilhada vista em todas as campanhas

‍

Estatísticas de registro WHOIS do primeiro cluster (com base na contagem total de domínios)

Estatísticas de registro WHOIS do segundo cluster (com base nos primeiros 1000 domínios):

Objetivos do ator de ameaças (TTPs e Modus Operandi)

‍

Meio de propagação (métodos prováveis)

Os mecanismos de distribuição precisos usados para direcionar as vítimas para esses domínios de lojas fraudulentos permanecem indeterminados. No entanto, com base em padrões estabelecidos observados em operações fraudulentas com temas natalinos em grande escala, vários canais de propagação prováveis podem ser razoavelmente inferidos:

• Plataformas de mensagens (vetor altamente provável): Essas campanhas podem circular pelo WhatsApp, Telegram e aplicativos de mensagens similares, nos quais os golpistas distribuem links curtos e urgentes, combinados com narrativas agressivas de descontos. Esses canais permitem uma disseminação rápida e de baixa visibilidade com supervisão mínima da plataforma.

• Compartilhamento de mídia social privado ou fechado: Embora nenhuma evidência direta vincule os clusters à publicidade pública convencional, os invasores ainda podem aproveitar grupos fechados do Facebook, páginas de compra/venda da comunidade ou postagens informais geradas por usuários que imitam promoções legítimas da marca, especialmente na Black Friday e nas vendas de fim de ano.

• Biblioteca de Meta Ads e Anúncios/Reels do Instagram (potencial vetor de publicidade): Os agentes de ameaças podem tentar veicular anúncios de baixo custo e de curta duração nas plataformas Meta (Facebook/Instagram), explorando a Meta Ads Library para promover promoções falsas em vitrines sob o pretexto de vendas instantâneas ou descontos exclusivos de fim de ano. Esses anúncios geralmente evitam a detecção precoce usando domínios recém-registrados, imagens genéricas de produtos e janelas de segmentação limitadas.

• Otimização de mecanismos de pesquisa (abuso de SEO): Outra estratégia plausível envolve manipulação de SEO. As vitrines fraudulentas podem ser otimizadas para aparecer nos resultados de pesquisa de nomes de produtos específicos, consultas de marca ou palavras-chave de ofertas de fim de ano de alto volume. Durante a Black Friday ou os períodos de pico de compras, é muito mais provável que os usuários cliquem em links de lojas desconhecidos que parecem legítimos nos resultados de pesquisa.

• E-mails de phishing ou campanhas de SMS: Essas operações também podem utilizar ataques de phishing por e-mail ou promoções por SMS, apresentando mensagens temáticas como “estoque limitado da Black Friday”, “liquidação urgente” ou “mega-desconto de fim de ano”, aumentando assim as taxas de cliques de vítimas por meio de engenharia social baseada em urgência.

• Cadeias e anúncios de redirecionamento no estilo afiliado: Os agentes de ameaças podem encaminhar as vítimas por meio de páginas de redirecionamento, blogs de cupons comprometidos, veiculação de anúncios enganosos ou redes de publicidade maliciosa, direcionando os usuários para o domínio final da loja falsa e ocultando a fonte.

Coletivamente, esses vetores inferidos representam os métodos mais plausíveis pelos quais as vítimas são direcionadas aos sites de lojas fraudulentas, especialmente durante períodos de maior atividade de compras, como Black Friday, Cyber Monday e vendas de Natal, quando a suscetibilidade do usuário a ofertas “boas demais para ser verdade” é significativamente elevada.

‍

‍

Aproveitando a plataforma CloudSEK

Ao aplicar as palavras-chave, indicadores e padrões baseados em modelos identificados ao longo dessa análise, a plataforma CloudSEK conseguiu revelar páginas falsas adicionais e domínios suspeitos potencialmente vinculados aos dois clusters discutidos acima. Usando rastreamento contínuo em toda a Internet e detecção baseada em palavras-chave, a plataforma sinalizou domínios que pareciam se passar por marcas conhecidas, abusar de nomes de marcas ou reutilizar os mesmos modelos com temas natalinos. Isso permitiu a identificação de vários domínios potenciais de phishing e lojas falsas, exibindo características de infraestrutura, uso de recursos e elementos de interface do usuário semelhantes, validando ainda mais a amplitude e a escala da atividade observada.

Impacto

• Perdas financeiras para os consumidores: As vítimas sofrem roubo monetário direto por meio de transações não autorizadas com cartão iniciadas após a inserção de dados de pagamento em lojas falsas com temas natalinos. Essas perdas geralmente permanecem irrecuperáveis devido à hospedagem offshore e ao rápido desaparecimento de domínios fraudulentos.

• Exposição de dados pessoais e financeiros confidenciais: As lojas falsas coletam todos os detalhes de faturamento, cartão de crédito e identidade, geralmente enviados por meio de parâmetros GET inseguros, gerando riscos de longo prazo de fraude de identidade, aquisição de contas e revenda de dados de vítimas em mercados clandestinos.

• Erosão da confiança em varejistas legítimos: Fraudes que se fazem passar por grandes marcas dos EUA prejudicam a confiança do público, fazendo com que os consumidores associem erroneamente atividades fraudulentas a empresas legítimas e sobrecarregando marcas com solicitações de reembolso e reivindicações de disputas.

• Carga operacional para bancos e provedores de pagamento: As instituições financeiras enfrentam picos de estornos, alertas de fraude e investigações de disputas à medida que golpistas exploram informações de pagamento roubadas, especialmente durante o volume de transações no nível da Black Friday.

• Amplificação por meio de SEO e abuso de publicidade on-line: Os golpistas usam a otimização de mecanismos de pesquisa e plataformas de anúncios potencialmente pagas (incluindo Meta Ads) para aumentar a visibilidade durante as vendas de fim de ano, fazendo com que lojas maliciosas pareçam legítimas para usuários desavisados.

• Exploração de plataformas de mensagens para distribuição de links: A possível disseminação de URLs de lojas maliciosas via WhatsApp, Telegram e outros canais privados aumenta o alcance, permitindo que os golpistas atinjam as vítimas com ofertas de descontos de fim de ano personalizadas ou baseadas em grupos.

• Implantação automatizada em grande escala: Com centenas a milhares de domínios compartilhando modelos e scripts idênticos, os golpistas rapidamente implantam e redefinem o tema de lojas falsas em cada temporada de festas, maximizando o impacto das vítimas por meio da automação de alto volume.

Conclusão e indicadores-chave para se proteger

Campanhas de lojas falsas com tema natalino tornaram-se altamente polidos, rápidos e automatizados - projetado para explore a correria da Black Friday, da Cyber Monday e das vendas de Natal. Esses sites geralmente pareça convincente mas confie em padrões previsíveis: táticas de urgência (”Compra rápida,””Inventário apertado”), selos “certificados” falsose nomes de domínio que imitam marcas populares usando palavras como seguro, veloz, venda, ou erros ortográficos óbvios. Entender essas bandeiras ajuda até mesmo compradores não técnicos a reconhecer quando uma vitrine pode não ser legítima.

Para se manter protegido, fique atento indicadores específicos frequentemente observado em lojas de férias falsas:

• Banners vermelhos ou brilhantes chamativos com mensagens agressivas (“Tempo limitado!” , “Venda relâmpago!” , “Só hoje!”) projetado para induzir urgência.
• Nomes de marcas combinados com palavras extras como seguro, veloz, lidar, venda, nós, comprar - por exemplo, brandname-safe.shop.
• Domínios criados recentemente (geralmente registrado semanas ou alguns meses após a Black Friday ou outros feriados).
• Nenhuma informação de contato real/oficial - apenas um formulário ou um e-mail pessoal genérico (Gmail) ou um e-mail corporativo ilegítimo não oficial (por exemplo. service@samsunghugesale.shop)
• Pop-ups alegando “Compra recente de John...” ou chamativo temporizadores de contagem regressiva.
• Sites com layouts idênticos em lojas com nomes diferentes - um forte sinal de modelos de kits fraudulentos.

Se você notar mesmo um ou dois Desses sinais, é mais seguro evitar a compra e verificar o negócio diretamente no site oficial da marca. Ao ficarem atentos a esses indicadores concretos, os compradores podem navegar nas festas de fim de ano com mais segurança e evitar serem vítimas da crescente onda de fraudes em lojas falsas.

Adendo: vitrines falsas ativadas antes do Dia de Ação de Graças, Black Friday e próximas vendas de fim de ano

Durante os estágios iniciais do monitoramento, vários domínios do segundo cluster que provavelmente estavam se passando por grandes marcas de consumo com base em seus padrões de nomenclatura, modelos recorrentes e indicadores compartilhados retornaram apenas uma resposta reservada contendo o texto “Em breve.”

Com a aproximação do período de Ação de Graças e Black Friday, esses domínios agora se transformaram em vitrines totalmente ativas, exibindo os mesmos layouts com temas natalinos, banners de urgência e estruturas modeladas anteriormente observados em todo o cluster mais amplo.

Com base em suas convenções de nomenclatura de domínio, semelhanças com favicons e reutilização consistente de modelos, esses sites parecem ter como alvo clientes que procuram marcas conhecidas, incluindo Xiaomi, Jo Malone, Fujifilm, Amazfit, COSRX, Samsung, Garmin, Shark, HP, Seagate, Omron, Kenwood, e Noções básicas da Amazon. Sua ativação está alinhada com os padrões sazonais típicos, sugerindo um esforço para atrair um grande número de compradores durante o pico de tráfego de fim de ano com os mesmos indicadores falsos de lojas destacados neste relatório.

Domínios atualmente ativos que potencialmente se passam pelas marcas acima

• xiaomidea.shop
• jomalonesafe.shop
• fujifilmsafe.shop
• amazfitsafe.shop
• cosrxus.shop
• samsungsafe.shop
• garminsafe.shop
• sharksafe.shop
• hpksafe.shop
• seagatesafe.shop
• omronsafe.shop
• kenwoodsafe.shop
• amazonamazonbasicsonline.shop

Esses domínios exibem as mesmas características estruturais e comportamentais de outros documentados no segundo cluster, e os compradores devem tratá-los com cautela, especialmente devido à sua ativação imediatamente antes dos principais eventos de vendas de fim de ano.

‍