Copa do Mundo amplia golpes de bets e deepfakes no Brasil
Por Marcelo Fischer Salvatico |
A Copa do Mundo de 2026 amplia uma área de risco que já estava em expansão no Brasil. Mais de 4,3 mil sites falsos foram identificados explorando o torneio, e as casas de apostas continuam sendo o principal vetor de fraude. Para Daniel Tupinambá, CISO Strategy da Elytron Cybersecurity, o ambiente favorece o crime em pelo menos duas frentes: o volume financeiro circulando nas plataformas e o estado emocional dos torcedores.
🎧Ouça o Podcast Canaltech no Spotify
🎧Ouça o Podcast Canaltech na Deezer
🎧Ouça o Podcast Canaltech no Apple Podcasts
"A emoção reduz o senso crítico", afirmou Tupinambá ao Podcast Canaltech desta segunda-feira (29). "O indivíduo, pelo ímpeto de ganhar rápido, é induzido pelo comportamento do fraudador”.
O especialista destaca que mais de 70% dos golpes ligados a apostas envolvem plataformas fictícias, que são sites que existem exclusivamente para cometer fraude, sem nenhuma relação com operadoras regulamentadas.
Segundo o Banco Central, os brasileiros movimentam entre R$ 20 bilhões e R$ 30 bilhões por mês para casas de apostas via Pix. O volume de dinheiro em circulação, combinado com a regulação ainda incipiente do setor, cria condições favoráveis para criminosos.
A situação é mais grave quando se considera que 34% dos brasileiros com acesso à internet relataram contato com golpes ligados ao tema nos últimos dois anos, quase o dobro dos 19% registrados antes da Copa de 2022.
Crime organizado como estrutura corporativa
Tupinambá descreve o cibercrime atual como operações com nível de organização que supera o de muitas empresas. Há recrutamento via LinkedIn, segmentação de alvos por vulnerabilidades financeiras e pessoais, e divisão de funções entre designers, redatores e programadores contratados para criar campanhas de fraude.
"Uma coisa é o planejamento do ataque, outra é o ataque propriamente dito", explica o especialista. "Eles planejam meses antes, como fica a câmera, a rotina, e na hora do ataque, fazem tudo em dois minutos”.
Esse intervalo de dois minutos não é estimativa: relatórios independentes do Mandiant (Google), da Unit 42 (Palo Alto Networks) e da CrowdStrike chegaram a resultados convergentes sobre o tempo médio de movimentação dentro de uma rede comprometida após a invasão inicial.
A inteligência artificial acelerou esse processo. Segundo levantamento da Kaseya, 83% das campanhas de phishing já utilizam recursos de IA, e mensagens geradas por essas ferramentas alcançam taxas de interação significativamente maiores do que os modelos tradicionais.
Tupinambá relata casos de investigação em que o fraudador utilizava um teleprompter alimentado em tempo real por IA durante conversas no WhatsApp com as vítimas. A ferramenta analisava as respostas recebidas e gerava sugestões imediatas de argumentos — um roteiro adaptativo de engenharia social.
Deepfakes entram como peça adicional nesse arsenal. Com cerca de 40 dólares, segundo o especialista, é possível gerar um volume significativo de vídeos falsos com rostos e vozes de figuras públicas, incluindo técnicos e jogadores, promovendo apostas fictícias.
O que fazer para não cair
As recomendações de Tupinambá incluem verificar se uma plataforma de apostas consta na lista oficial do governo federal antes de qualquer cadastro, desconfiar de promoções com retornos desproporcionais ao valor investido e nunca realizar pagamentos preliminares para "liberar" prêmios.
Para empresas, o alerta é sobre ameaças internas: colaboradores sem acesso direto a sistemas podem, mesmo sem má intenção, fornecer informações suficientes para um ataque.
"A pergunta não é mais se vai acontecer um ataque. É quando", disse Tupinambá.