Phishing mira IPO da SpaceX: TA2730 faz investidores caírem em armadilha financeira

Grupo criminoso se passa por corretoras reais na Austrália e em Cingapura para roubar credenciais de acesso em páginas falsas de autenticação

Pesquisadores da Proofpoint identificaram uma campanha de phishing que transforma o IPO mais aguardado do mercado em isca para roubo de credenciais: o grupo TA2730 usa e-mails falsos em nome de corretoras legítimas para atrair investidores da Austrália e de Cingapura para páginas fraudulentas criadas para capturar logins e senhas de contas de investimento.

A campanha foi detectada no período imediatamente anterior à estreia da SpaceX no Nasdaq, ocorrida em 12 de junho de 2026 sob o ticker SPCX. A oferta pública inicial da empresa foi estimada em um dos maiores levantamentos de capital da história, com projeções de captação acima de US$ 75 bilhões e valuation superior a US$ 1,75 trilhão. O apelo financeiro do evento criou o ambiente perfeito para a engenharia social.

Como funciona o golpe que utilizou o IPO da SpaceX?

Os criminosos se passaram por plataformas financeiras legítimas, incluindo CommSec e FSM One, para atingir usuários na Austrália e em Cingapura. Os e-mails fraudulentos convidavam os destinatários a se candidatarem para a elegibilidade de compra de ações da SpaceX, aproveitando o interesse gerado pela expectativa de uma das estreias mais aguardadas do mercado.

Os e-mails continham links que direcionavam as vítimas para páginas falsas de autenticação, criadas para coletar credenciais de acesso e informações sensíveis das contas nas corretoras imitadas.

A própria CommSec confirmou a ameaça. Em 8 de junho de 2026, a corretora emitiu alerta oficial de golpe sobre e-mails falsos promovendo o “IPO da SpaceX”, dias antes da listagem real. A FSM One, plataforma de fundos e ações de Cingapura que efetivamente participou do processo de IPO, também foi usada como identidade pelos atacantes para dar credibilidade às mensagens maliciosas.

Quem é o TA2730

A Proofpoint rastreia o TA2730 desde junho de 2025 como um grupo proeminente de phishing focado na obtenção de credenciais de diversas instituições financeiras, tipicamente aquelas voltadas a investimentos. As campanhas do grupo parecem oportunistas, não direcionadas, e as mensagens são enviadas a partir de domínios maliciosos provavelmente registrados pelos próprios atacantes.

O ator usa múltiplos kits de phishing, incluindo um que provavelmente desenvolveu e utiliza com maior frequência. Os alvos prioritários são Canadá, Austrália, Cingapura, Suíça e Japão segundo a Proofpoint.

A campanha contra investidores da SpaceX representa uma mudança estratégica relevante. Uma das iscas mais populares usadas pelo TA2730 envolve o formulário W-8BEN, documento fiscal norte-americano para contribuintes estrangeiros. Normalmente, o grupo se passa por corretoras e informa o destinatário de que precisa atualizar ou fornecer informações de W-8BEN. Desta vez, o grupo abandonou o tema tributário e apostou no apelo emocional de um IPO histórico para ampliar a taxa de conversão dos ataques.

Técnica conhecida, vetor novo

Uma das táticas mais comuns neste tipo de campanha envolve e-mails não solicitados alegando oferecer acesso exclusivo a ações pré-IPO. As mensagens frequentemente apresentam logotipos corporativos oficiais, assinaturas executivas forjadas e formatação altamente profissional.

As vítimas são direcionadas a páginas falsas de login de contas de investimento, projetadas para capturar credenciais. O objetivo final é a tomada de controle das contas para fins de ganho financeiro direto, seja por transferências não autorizadas ou por manipulação de operações de trading.

O padrão do TA2730 também já havia sido identificado em contexto similar de impersonação de corretoras. Uma campanha anterior se passava pela CommSec para pedir que usuários “completassem suas informações fiscais” sob ameaça de limitação de conta. A página falsa imitava o portal de login com campo de Client ID e senha, e os analistas de segurança identificaram elementos como nomes de exibição grafados incorretamente e links apontando para domínios que não pertencem à CommSec.

Por que este ataque é especialmente perigoso

O timing é o principal diferencial desta campanha em relação a golpes tradicionais. Ao contrário de iscas genéricas, o phishing do IPO da SpaceX se aproveitou de um evento real e amplamente noticiado, com datas concretas, corretoras que realmente participaram da oferta e um produto de alto valor percebido. A FSM One, por exemplo, chegou a publicar comunicados oficiais orientando seus clientes sobre a listagem da SpaceX sob o ticker SPCX, o que deu ainda mais verossimilhança às mensagens falsas que imitavam a plataforma.

Essa sobreposição entre o evento legítimo e o golpe cria um ambiente de ambiguidade que dificulta a identificação do phishing mesmo por usuários experientes.

Tendência em aceleração

Segundo a publicação Infosecurity Magazine, a campanha reforça um padrão consolidado entre grupos de ameaça financeira: a exploração de eventos de grande repercussão no mercado como vetor de engenharia social. A Proofpoint identificou mais de cem campanhas com temas de contexto financeiro e tributário no início de 2026, com o TA2730 entre os grupos mais ativos, com foco em organizações no Japão e em outras partes da Ásia, além de usuários na Austrália e em Cingapura.

O modelo de ataque é escalável: qualquer IPO de empresa de alta visibilidade pode ser utilizado como isca em campanhas semelhantes. Lançamentos de ações em setores de tecnologia, energia e inteligência artificial tendem a se tornar alvos preferenciais nos próximos ciclos, exigindo vigilância constante de investidores, corretoras e times de segurança corporativa.

O que fazer?

Investidores e profissionais de segurança devem adotar os seguintes cuidados diante de comunicações sobre IPOs e oportunidades de investimento:

• Verificar o domínio do remetente antes de qualquer interação com links recebidos por e-mail
• Acessar plataformas de investimento sempre pela URL oficial salva nos favoritos do navegador, nunca por links em e-mail
• Desconfiar de convites para “elegibilidade” ou “pré-cadastro” em IPOs via mensagem não solicitada
• Contatar diretamente a corretora pelos canais oficiais em caso de dúvida sobre qualquer comunicação recebida

Glossário

TA2730: grupo de ameaça rastreado pela Proofpoint desde junho de 2025, especializado em roubo de credenciais de plataformas financeiras e de investimento, com foco em países como Austrália, Cingapura, Canadá, Suíça e Japão.

Credential harvesting (colheita de credenciais): técnica usada em ataques de phishing para coletar em massa combinações de login e senha de vítimas por meio de formulários falsos.

Impersonação: prática em que atacantes se passam por marcas, empresas ou pessoas reais para conferir legitimidade a comunicações fraudulentas.

W-8BEN: formulário fiscal norte-americano utilizado por contribuintes não residentes nos Estados Unidos para declarar sua condição fiscal, frequentemente explorado como isca pelo TA2730 em campanhas anteriores.

Sobre a Proofpoint

A Proofpoint, Inc. empresa global em cibersegurança centrada em pessoas, protegendo a forma como usuários, dados e agentes de inteligência artificial se conectam por meio de e-mail, nuvem e ferramentas de colaboração. A empresa é parceira de confiança de mais de 80 das 100 maiores empresas da Fortune 500 e de mais de 10.000 grandes organizações no combate a ameaças, prevenção de perda de dados e construção de resiliência operacional.