Da isca ao Pix: como funciona a 'máquina' de golpes digitais no Brasil

Você já deve ter recebido mensagens com ofertas imperdíveis ou promessa de “dinheiro esquecido” pelo WhatsApp ou SMS. Apesar da aparência simples, trata-se de uma indústria que combina engenharia social, IA, automação e outras ferramentas para tornar os golpes mais eficazes, escaláveis e difíceis de serem rastreadas.

• Quais são os principais “golpes do Pix” e o que fazer para evitá-los
• Como acontecem os golpes com reconhecimento facial e como empresas se protegem

A seguir, veja como funcionam os bastidores para você se proteger de fraudes:

• A engenharia social e o “timing perfeito”
• Do e-mail ao SMS
• Sequestro de contas de WhatsApp
• Clonagem de WhatsApp
• Fábrica de sites falsos
• Servidores comprometidos
• Dados primeiro, dinheiro depois
• O Pix e as “contas laranjas”
• Como se proteger dos golpes digitais

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

A engenharia social e o “timing perfeito”

A engenharia social é a porta de entrada de boa parte dos golpes atuais, quase sempre através via phishing. Ou seja, mensagens, e-mails e demais comunicações que se passam por contatos oficiais de empresas e governos para induzir a vítima a clicar em links falsos para informar dados, fazer Pix ou até instalar apps com malwares.

“Grande parte das campanhas de golpes no Brasil, especialmente as de massa, ocorre predominantemente via phishing”, aponta o diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, Fabio Assolini, citando mais de 553 milhões de tentativas bloqueadas em um ano no país, um crescimento de 80% em relação ao período anterior.

O “timing” é peça central nessa estratégia. Golpistas se alinham a eventos de grande visibilidade, como a declaração do IRPF, pagamento do IPVA, programas como Desenrola Brasil, inscrições do ENEM e shows de grande apelo da população, para ganhar credibilidade e atrair mais vítimas.

O gerente de Engenharia de Segurança da Check Point Software Brasil, Fernando de Falchi, reforça que essa sazonalidade é uma estratégia calculada. Afinal, campanhas de phishing se “encaixam” no contexto da vítima, com mensagens de “regularize sua declaração de IRPF” ou “atualize seus dados do programa social”.

“Gera confiança, ativa o senso de urgência e, na prática, aumenta drasticamente a chance de a pessoa clicar no link e entregar dados ou credenciais. É exatamente esse combo que turbina a eficácia da campanha maliciosa”, explica.

Em paralelo, esse tipo de campanha deixou de ser artesanal para virar uma linha de produção.

Segundo o gerente de Engenharia de Sistemas da Veeam Software, Marcio de Freitas, agentes maliciosos combinam engenharia social com métodos técnicos mais sofisticados, incluindo a exploração de vulnerabilidades e suborno de funcionários internos, em campanhas de phishing em massa.

“Com o fortalecimento das práticas de segurança e backup pelas empresas, os ataques estão se tornando mais direcionados e criativos”, afirma.

Do e-mail ao SMS

O levantamento “Latin America 2025 Mid-Year Cyber Snapshot”da Check Point Software mostra que seis em cada dez arquivos maliciosos chegam por e-mail na América Latina. Ainda segundo o relatório, organizações brasileiras sofreram, em média, quase 2,9 mil ataques por semana em seis meses, acima da média global.

Os golpistas, mesmo assim, diversificaram os canais para ampliar o seu alcance. De Falchi ressalta que o phishing “deixou de ser apenas e-mail” e se fragmentou em um “ecossistema multicanal” que integra mensagens de texto (SMS), WhatsApp, redes sociais, anúncios e dispositivos móveis.

No SMS, a prática é conhecida como smishing. Neste canal, são utilizados serviços de disparo em massa, listas de números vazados, celulares descartáveis e técnicas de spoofing para mascarar a origem das mensagens.

As iscas, por sua vez, variam: taxas de entrega ou renovação de CNH, notificações de “entrega suspensa”, promoções absurdas, atualizações cadastrais de bancos ou programas sociais e alertas de recuperação de conta de redes sociais e e-mail.

Além do smishing, outras abordagens fazem parte dessa “indústria”:

• Vishing (voice phishing): ligações em que o golpista finge ser banco, governo ou suporte técnico;
• Whaling: ataques que miram executivos de alto escalão para autorizar grandes transferências;
• Clone phishing: réplicas de e-mails legítimos, com links e anexos trocados por versões maliciosas;
• SEO poisoning: manipulação de resultados ou anúncios em buscadores para empurrar sites falsos para o topo;
• Business Email Compromise (BEC): fraudes em que o agente malicioso se passa por executivo ou fornecedor em empresas. 

Há, ainda, técnicas sofisticadas como o uso de ERBs falsas (torres de celular falsas) para interceptar ou injetar SMS. Essa abordagem, no entanto, é considerada cara e exige presença física próxima às vítimas, mas ilustram o grau de profissionalização e diversificação das campanhas.

Sequestro de contas de WhatsApp

O WhatsApp se tornou um dos ativos mais valiosos para aplicar golpes diretamente ou como ferramenta de propagação de novas campanhas. O “sequestro” de contas acontece por diferentes caminhos, mas todos com o objetivo de invadir a conta para usá-la para ampliar as abordagens.

Técnicas de engenharia social também são aplicadas para convencer o usuário a entregar o código de verificação. Isso ocorre, por exemplo, através de perfis falsos em redes sociais com um convite para ir a um restaurante de graça.

Neste caso, os golpistas solicitam dados da vítima, como o número de telefone, e, depois, informam que é preciso compartilhar um código de seis dígitos enviado via SMS para confirmar a oferta. Ao fornecê-lo, o WhatsApp é invadido para outro aparelho.

Além do WhatsApp, a tática é utilizada para burlar sistemas de autenticação em duas etapas de outras plataformas, como o Instagram, TikTok, Facebook e afins, para invadir contas.

Também há o SIM Swap, quando o número de telefone da vítima é transferido para um aparelho controlado pelos agentes maliciosos, realizado ao resgatar um novo chip ou por meio de uma portabilidade. Com a linha em mãos, é possível ativar o WhatsApp em outro celular.

Assolini aponta que boa parte dos “sequestros digitais” ainda ocorre pela manipulação direta da vítima, seja ao pedir o código “por engano” ou ao criar um cenário em que a pessoa compartilha o código por mensagem e ligação ou digita o token em um site falso. Somado a isso, dados pessoais obtidos em outras fraudes ajudam a alimentar golpes de SIM Swap.

Para evitar esse tipo de abordagem, operadoras brasileiras passaram a solicitar novos métodos de autenticação. Entre eles, a biometria através do reconhecimento facial e leitura de documentos oficiais. Além disso, os processos de portabilidade são iniciados somente após uma confirmação via SMS.

Mesmo assim, é recomendável adotar medidas básicas de proteção, como ativar a verificação em duas etapas do WhatsApp, para evitar os acessos indesejados.

Clonagem de WhatsApp

Você já deve ter recebido uma mensagem de um número desconhecido com a foto da sua mãe, pai, irmãos e demais parentes pedindo uma transferência bancária ou para pagar uma conta. Essa é outra situação comum para fraudes, popularmente conhecida como “clonagem do WhatsApp”.

Ao contrário do sequestro, a clonagem não depende do acesso a uma conta. Aqui, é utilizado um cadastro com um número aleatório com a foto e o nome de uma pessoa conhecida pela vítima, obtidos através de vazamentos de dados ou de outros golpes.

No geral, o agente malicioso envia uma mensagem informando que teve um problema no celular e, por isso, precisou entrar em contato através de outro número. Além disso, evita qualquer outro tipo de interação além do texto, como chamadas de voz ou vídeo e mensagens de voz.

O pulo do gato vem na sequência: o pedido para fazer uma transferência bancária para consertar o suposto aparelho quebrado ou quitar uma fatura que não pode ser paga devido ao defeito do celular, por exemplo. Esse dinheiro, no entanto, é enviado para outra conta, e não do suposto familiar.

Neste caso, é recomendável desconfiar e procurar a pessoa por outros canais ou através de um conhecido para confirmar se o contato é verdadeiro ou não. Ao mesmo tempo, não interaja com o golpista para evitar que outras informações sejam compartilhadas por acidente.

Se for uma clonagem, bloqueie o número e denuncie como spam. Também é indicado alertar amigos e parentes sobre o caso.

Fábrica de sites falsos

Se a mensagem é a isca, o site falso é o anzol. Hoje, agentes maliciosos não precisam mais “programar” uma página do zero para enganar vítimas. No lugar, usam kits de phishing para clonar rapidamente o visual de bancos, lojas e órgãos públicos.

“Os sites falsos são, com frequência, construídos a partir de kits de phishing avançados, que permitem criar réplicas quase idênticas de sites oficiais”, explica de Falchi.

O gerente observa que esse processo é quase totalmente automatizado, com robôs que monitoram as páginas oficiais a todo momento. Ao mesmo tempo, os kits atualizam milhares de campanhas simultaneamente.

Todo esse arcabouço resulta na construção em diversas abordagens. Uma delas, mais comum, é o desenvolvimento de cópias quase perfeitas dos sistemas de login do Google e Microsoft, por exemplo, com intuito de coletar o e-mail e a senha de colaboradores de empresas.

Também há réplicas quase fiéis de plataformas de e-commerce, que trazem produtos "vendidos" com preços bem abaixo da média para convencer a vítima a fazer transferências via Pix para contas usadas pelos cibercriminosos ou para obter a numeração do cartão de crédito.

Em alguns casos, são criadas páginas de supostas promoções sazonais, como a oferta de um brinde de Natal, e de notificações envolvendo documentos do governo, com formulários de cadastro. Neste caso, a abordagem visa obter dados pessoais das vítimas para abordagens futuras.

Servidores comprometidos

Outro fator bastante explorado pelos golpistas é a infraestrutura volátil. Ainda de acordo com o diretor da Kaspersky, muitos agentes maliciosos preferem invadir servidores legítimos e criar subseções escondidas para hospedar as páginas de phishing.

“Muitas vezes, pequenas e médias empresas são vítimas de hacks desse tipo porque não têm os recursos para atualizar e monitorar constantemente seus sites”, destaca Assolini.

O gerente da Check Point Software complementa que os sites falsos operam em um padrão de descartabilidade, rapidamente retirados do ar ou migrados para outros domínios para não deixar "pistas".

“Os criminosos odeiam pagar conta fixa e evitam ainda mais deixar rastro longo. A regra tem sido: tempo médio de vida útil da página falsa é de menos de 48 horas, migrando entre dez a 15 serviços gratuitos ou quase gratuitos e, quando um domínio é derrubado, outro já está ativo antes mesmo de você terminar de fazer a denúncia. Por isso, a infraestrutura escolhida é 100% descartável, barata ou gratuita”, explica de Falchi.

Nesse cenário, até empresas que não são alvo direto correm o risco de virar parte da “cadeia de produção” ao não adotar as medidas essenciais para proteger credenciais, servidores, APIs e demais recursos.

Dados primeiro, dinheiro depois

Nem todo golpe pede dinheiro na primeira abordagem. Muitas campanhas têm como objetivo inicial construir um “kit de dados da vítima”, incluindo o nome, CPF, endereço, telefone, e-mail e histórico de compras, para só depois partir para a parte financeira.

“Informações como nome, CPF, endereço e telefone podem ser reutilizadas em futuros golpes, para roubo de identidade ou até para revenda. Essa abordagem em etapas permite que os atacantes criem perfis detalhados das vítimas e realizem ataques mais convincentes e lucrativos posteriormente”, destaca Freitas.

O diretor da Kaspersky reforça que esses dados costumam vir de vazamentos anteriores e são vendidos em fóruns na dark web. A partir daí, alimentam uma "cadeia de fraudes".

“Esses dados, por exemplo, podem ser vendidos na dark web para serem utilizados em outros golpes. Ou, até mesmo, serem utilizados para que os criminosos possam cometer roubo de identidade, abrir contas bancárias, solicitar empréstimos, realizar golpes de SIM Swap, entre outros”, lista Assolini.

Para de Falchi, vazamentos passados “alimentam fraudes futuras”. Por isso, é essencial investir em proteção de identidade, gestão de credenciais e monitoramento de uso de dados vazados na dark web.

O Pix e as “contas laranjas”

O Pix também é explorado de forma indevida para aplicar golpes no Brasil. Não à toa, o Banco Central (BC) e o setor bancário vêm buscando meios para reduzir o uso fraudulento do sistema há alguns anos, com aplicação de novos limites e até mesmo melhorias no Mecanismo Especial de Devolução (MED).

O uso ilícito é realizado através de contas de passagem, segundo a Federação Brasileira de Bancos (Febraban), criadas de duas formas:

• Contas laranja: abertas de formas regular, mas usadas de forma ilícita com anuência do titular ao receber um espécie de comissão por “emprestá-la”;
• Contas frias: abertas de maneira irregular, sem o conhecimento do titular, através de dados obtidos em vazamentos ou em fraudes.

Geralmente, o Pix é utilizado através da seguinte forma nos golpes: primeiro, é captado o dinheiro da vítima, que faz a transação acreditando ser o pagamento de uma compra ou transferência para um conhecido. Depois, esse valor fica temporariamente em uma conta de passagem.

Na sequência, a quantia recebida é rapidamente distribuída em várias transferências menores para outras contas, inclusive de outras titularidades, a fim de dificultar o rastreio e a recuperação. Depois, os recursos são sacados ou usados pelos golpistas.

Por isso, é recomendável confirmar os dados bancários de quem vai receber o Pix antes de finalizar a transferência. Alguns bancos, como o Itaú e Santander, contam com um alerta caso a transação seja feita para uma conta suspeita.

IA: novo combustível para golpes (e defesa)

Além de agilizar o processo de “clonagem” de sites oficiais, a IA é aplicada para outro fim: melhorar textos e imagens para dificultar a identificação entre o que é falso e o que é verdadeiro.

“O uso de inteligência artificial, inclusive IA generativa, em fraudes e golpes virtuais já é uma realidade no Brasil”, afirma Freitas. "Esse avanço permite que os criminosos tornem os golpes mais difíceis de identificar e aumentem a eficiência das tentativas de fraude. Autoridades de cibersegurança e instituições financeiras já reconhecem um aumento desses casos no Brasil e alertam para a necessidade de maior atenção e proteção.”

É o caso de campanhas de phishing disparadas por e-mail. Por exemplo, se antes as “notificações” de senha expirada eram identificadas, entre outros fatores, por um erro de ortografia ou por um problema no layout, hoje, esses sinais já são quase inexistentes graças ao uso de inteligência artificial.

Contudo, essa abordagem vai além. Com a tecnologia, cibercriminosos conseguem replicar imagens e vozes de figuras públicas ou de conhecidos para criar deepfakes. Trata-se de uma evolução do phishing, que traz uma "nova geração de golpes" a fim de atrair mais vítimas.

Não à toa, uma pesquisa recente da McAfee mostra que, desde 2024, os deepfakes aumentaram 1.740% só nos Estados Unidos.

Mas há o outro lado da moeda: o uso da IA para reforçar a proteção de sistemas e combater golpes.

De Falchi vê a IA como uma “faca de dois gumes”: se, de um lado, cibercriminosos usam modelos generativos para escrever e-mails “perfeitos”, criar deepfakes e “otimizar” código malicioso, do outro, empresas de segurança recorrem à tecnologia para detectar domínios falsos, padrões de phishing e ameaças emergentes em escala.

“A IA já mudou a dinâmica do risco. Estratégias tradicionais de detecção não bastam. É indispensável integrar segurança preditiva, validação forte de identidade e automação inteligente para não ficar estruturalmente atrás em um cenário no qual atacantes operam em velocidade e escala inéditas”, destaca.

Como se proteger dos golpes digitais

O avanço dos golpes digitais mostra que não se trata mais de simples mensagens mal escritas ou sites com problemas de grafia ou estrutura. Há um ecossistema profissional, que explora não apenas datas sensíveis como usa IA para escalar campanhas e se apoia em uma infraestrutura flexível e descartável.

Por isso, a primeira dica para garantir mais proteção é a velha desconfiança: desconfie sempre de mensagens urgentes que prometem resolver problemas fiscais, liberar benefícios, entregar brindes ou trocar a senha do e-mail após uma suposta invasão. Ou seja, fique sempre de olho aberto!

Confira outras dicas:

• Use senhas fortes e únicas;
• Ative a autenticação em duas etapas;
• Evite clicar em links suspeitos recebidos por SMS, e-mail ou mensageiros;
• Não instale aplicativos ou abra arquivos enviados por números desconhecidos;
• Elabore um código secreto entre conhecidos para se identificarem e evitar abordagens com clonagem de voz ou vídeo;
• Antes de fazer qualquer transferência ou pagamento, confirme os dados bancários da conta de destino;
• Digite manualmente o endereço de bancos e sites de governo no navegador ao acessá-los;
• Monitore com atenção qualquer notificação de alteração de cadastros;
• Monitore se seus dados foram alvos de vazamentos.

Leia mais:

• Golpe do 'Pix errado': 4 truques para identificar comprovantes falsos
• 8 golpes com inteligência artificial para você ficar atento
• 3 golpes digitais mais comuns no Brasil, segundo o Google (e como se proteger)

VÍDEO: Golpe da SELFIE: saiba COMO se proteger!