Os cibercriminosos estão contornando a segurança dos bancos com

Este artigo é uma tradução/adaptação para o português (PT-BR) de uma notícia do MIT Technology Review.

A MIT Technology Review identificou quase duas dúzias de canais e grupos que pretendem quebrar grandes exchanges de criptomoedas e bancos de marca. De dentro de um centro de lavagem de dinheiro no Camboja, um funcionário abre um popular aplicativo bancário vietnamita em seu telefone. O aplicativo pede que ele carregue uma foto associada à conta, então ele clica na foto de um homem asiático de 30 e poucos anos. Em seguida, o aplicativo solicita a abertura da câmera para uma verificação de “vivacidade” do vídeo. O golpista exibe uma imagem estática de uma mulher que não tem nenhuma semelhança com o homem dono da conta. Depois de uma espera de 90 segundos, enquanto o aplicativo diz para ele reajustar o rosto dentro do quadro, ele entra. A exploração que ele está demonstrando, em um vídeo compartilhado comigo por um pesquisador de fraudes cibernéticas chamado Hieu Minh Ngo, é possível graças a um de uma gama crescente de serviços de hacking ilícitos, prontamente disponíveis para compra no Telegram, que são projetados para quebrar varreduras faciais “Conheça seu cliente” (KYC).

Estas salvaguardas bancárias e criptográficas devem confirmar que uma conta pertence a uma pessoa real e que o rosto do utilizador corresponde aos documentos de identidade que foram fornecidos para abrir a conta. Mas os golpistas estão contornando-os para abrir contas de mulas e lavar dinheiro. Em vez de usar a transmissão ao vivo da câmera do telefone para verificar a atividade, os hacks normalmente implantam uma ferramenta conhecida como câmera virtual. Os usuários podem substituir o stream de vídeo por outros vídeos ou fotos – retratando uma pessoa real ou falsa ou até mesmo um objeto. À medida que as instituições financeiras adoptam medidas de segurança reforçadas destinadas a impedir os cibercriminosos, estas soluções alternativas são a mais recente ronda no jogo do gato e do rato entre os operadores criminosos e a indústria de serviços financeiros.

Ao longo de uma investigação de dois meses no início deste ano, o MIT Technology Review identificou 22 canais e grupos públicos do Telegram em chinês, vietnamita e inglês que anunciavam kits de bypass e dados biométricos roubados. Os kits de software usam uma variedade de métodos para comprometer sistemas operacionais telefônicos e aplicativos bancários, alegando permitir que os usuários contornem as verificações de conformidade impostas por instituições financeiras, desde grandes bolsas de criptografia, como a Binance, até bancos de marca, como o BBVA da Espanha. “Especializado em serviços bancários – manipulação de dinheiro sujo”, diz a biografia do Telegram do programa usado pelo lavador cambojano, já excluída, completa com um emoji de polegar para cima. "Seguro. Profissional. Alta qualidade." Alguns dos canais e grupos tinham milhares de assinantes ou membros, e muitos postaram marcadores listando seus serviços (“Todos os tipos de serviços de verificação KYC”; “É tudo tranquilo e contínuo”) ao lado de vídeos que pretendiam mostrar hacks bem-sucedidos.

O Telegram afirma que após analisar as contas, as removeu por violarem seus termos de serviço. Mas esses mercados online proliferam facilmente e vários canais e grupos que anunciam ferramentas semelhantes permanecem activos. O aumento dos desvios de KYC ocorreu juntamente com a expansão de uma indústria global de fraudes cibernéticas de “abate de porcos”. As plataformas criptográficas e os bancos em todo o mundo enfrentam um escrutínio cada vez maior sobre o fluxo de dinheiro obtido ilegalmente, incluindo lucros provenientes de tais fraudes, através das suas plataformas. Isto levou a regulamentações bancárias mais rigorosas em países como o Vietname e a Tailândia, onde os governos aumentaram os requisitos de verificação de clientes e de monitorização de fraudes e estão a pressionar por salvaguardas mais fortes contra o branqueamento de capitais na indústria criptográfica. Chainalysis, uma empresa de análise de blockchain dos EUA, estima que cerca de US$ 17 bilhões foram roubados em 2025 em fraudes e fraudes criptográficas, acima dos US$ 13 bilhões em 2024. O Escritório das Nações Unidas sobre Drogas e Crime, entretanto, alertou em um relatório recente que a expansão dos sindicatos fraudulentos asiáticos na África e no Pacífico ajudou a indústria a “aumentar drasticamente os lucros”.

Essa combinação de fatores – mais escrutínio, mas também mais receitas – elevou os desvios de KYC para o centro do mercado online para fraudes cibernéticas e lavadores de dinheiro de cassinos. Embora as estimativas variem, os investigadores de segurança cibernética dizem que estes tipos de ataques estão a aumentar: a empresa de verificação biométrica iProov estimou que os ataques a câmaras virtuais foram mais de 25 vezes mais comuns em todo o mundo em 2024 do que em 2023, enquanto a Sumsub, uma empresa que fornece serviços KYC, relatou que tentativas de fraude “sofisticadas” ou em várias etapas, incluindo desvios de câmaras virtuais, quase triplicaram no ano passado entre os seus clientes. Três instituições financeiras que foram apontadas como alvos nesses canais do Telegram – a maior exchange de criptomoedas do mundo, a Binance, bem como o BBVA e a Revolut, com sede no Reino Unido – me disseram que estão cientes de tais desvios e enfatizam que são um desafio para todo o setor. Um porta-voz da Binance disse que “observou tentativas dessa natureza de contornar nossos controles”, acrescentando que “prevenimos com sucesso tais ataques e continuamos confiantes em nossos sistemas”. O BBVA e a Revolut também se recusaram a comentar se as suas salvaguardas foram violadas.

É difícil estimar as taxas de sucesso, porque as empresas podem não ter conhecimento dos desvios – ou reportá-los – até mais tarde. “O importante é o que não vemos”, disse-me Artem Popov, chefe de produtos de prevenção de fraude da Sumsub, referindo-se a ataques que passam despercebidos. “Há sempre uma parte da história que pode estar completamente escondida dos nossos olhos e dos olhos de qualquer empresa do setor, usando qualquer tipo de provedor KYC.” Os anúncios das explorações parecem bastante simples, mas no back-end, construir um desvio bem-sucedido é complexo e geralmente envolve vários métodos. Alguns canais oferecem o jailbreak de um telefone físico para que os golpistas possam acionar o uso de uma câmera virtual (VCam) em vez da câmera embutida sempre que desejarem. Outros hacks injetam código conhecido como “estrutura de conexão” no aplicativo de uma instituição financeira que aciona a abertura da VCam. De qualquer forma, as VCams podem ser usadas para enganar as salvaguardas KYC com imagens ou vídeos que substituem o vídeo ao vivo genuíno do proprietário da conta.

Sergiy Yakymchuk, CEO da Talsec, uma empresa de segurança cibernética que atende principalmente instituições financeiras, revisou detalhes dos canais do Telegram identificados pela MIT Technology Review e diz que eles são consistentes com táticas bem-sucedidas usadas contra seus clientes bancários e criptográficos. Sua equipe recebeu solicitações de ajuda de bancos e bolsas para cerca de 30 hacks baseados em VCam no ano passado, contra menos de 10 em 2023. Cada vez mais, os hackers comprometem o próprio telefone e o código dos aplicativos das instituições financeiras antes de alimentar a câmera virtual com uma mistura de dados biométricos roubados e deepfakes, diz Yakymchuk. “Há algum tempo bastava descompilar o aplicativo de um banco e distribuir isso no Telegram, e isso era tudo que você precisava”, diz. “Agora não é suficiente, porque você tem KYC – e cada vez mais coisas são necessárias.”

Para os lavadores de dinheiro, os desvios de KYC “tornaram-se essenciais para tudo neste momento – porque os compostos fraudulentos precisam movimentar dinheiro”, diz Ngo, o pesquisador que compartilhou o vídeo de demonstração. Ex-hacker condenado que se tornou consultor de segurança cibernética do governo vietnamita, Ngo agora dirige uma organização sem fins lucrativos anti-fraude e ajuda as autoridades a investigar lavagem de dinheiro. Ele descreve como funciona o processo no caso de golpes de abate de porcos: Os fundos provenientes das vítimas são recebidos em contas bancárias controladas ou alugadas por uma rede de lavagem de dinheiro, conhecida coloquialmente como “casas de água”. Os lavadores de dinheiro usam desvios KYC para acessar as contas e redistribuir rapidamente os lucros antes de convertê-los em ativos digitais – normalmente na forma da stablecoin Tether, um tipo de criptomoeda indexada ao dólar americano. Essas transações geralmente acontecem em segundos, sob um gerenciamento rigorosamente orquestrado. “Eles conhecem muito claramente o fluxo de verificação ou autenticação das contas pelos bancos”, diz Ngo.

O crescimento da lavagem de dinheiro através de fraudes cibernéticas levou a um maior escrutínio das instituições financeiras. Em 2023, a Binance se declarou culpada nos tribunais federais dos EUA por operar sem salvaguardas contra lavagem de dinheiro. Donald Trump perdoou o ex-CEO da Binance, Chaopeng Zhao, em outubro passado. Uma análise recente do Consórcio Internacional de Jornalistas Investigativos concluiu que, após a confissão de culpa de Zhao, mais de 400 milhões de dólares continuaram a ser transferidos para a Binance do Huione Group, uma empresa sediada no Camboja que foi sancionada pelos EUA depois de o Departamento do Tesouro a ter considerado um “nó crítico” para o branqueamento de capitais em esquemas de abate de porcos. A Binance afirma ter “sistemas de segurança de última geração” que evitaram bilhões em perdas por fraude e que a empresa processou mais de 71.000 solicitações de aplicação da lei em 2025.

Mas John Griffin, especialista em finanças e blockchain da Universidade do Texas em Austin, não acredita que as exchanges sejam suficientemente seguras. "Mesmo que eles tenham toda essa imprensa sobre 'Ah, sim, nós mudamos isso e aquilo' - bem, a prova está no pudim. Os criminosos ainda estão usando sua troca", disse-me Griffin sobre a indústria em geral. “Então deve haver buracos.” (A Binance diz que “se opõe às descobertas duvidosas” do trabalho de Griffin que rastreia o fluxo de lucros criminosos em bolsas como Binance, Huobi, OKX e Tokenlon, chamando-o de “enganoso na melhor das hipóteses e, na pior das hipóteses, extremamente impreciso”.) A Binance também apontou que alguns supostos serviços de desvio são eles próprios fraudes, lançando dúvidas sobre se os desvios bem-sucedidos são tão difundidos quanto o mercado Telegram pode sugerir. O envolvimento com esses serviços “expõe os indivíduos a riscos de segurança significativos”, disse um porta-voz. “Mesmo onde o acesso parece ser concedido, as contas muitas vezes já estão restritas por detecção interna e controles de conformidade, tornando-as inoperantes para negociação ou retiradas.”

Os reguladores de todo o mundo estão a tentar recuperar o atraso. Na Tailândia, onde as contas bancárias dos cidadãos servem regularmente como mulas de dinheiro para fraudes cibernéticas baseadas nos vizinhos Mianmar e Camboja, a nova legislação melhorou a monitorização KYC, limitou as transações diárias e reforçou a capacidade dos órgãos de supervisão de suspender contas. O regulador de lavagem de dinheiro dos EUA, a Rede de Execução de Crimes Financeiros, emitiu um alerta contra deepfakes KYC e o uso de VCams no final de 2024, incentivando as plataformas a rastrear padrões de transações mais amplos para identificar a lavagem de dinheiro. Para os golpistas, quaisquer novos requisitos de segurança ou de relatórios dificultarão os desvios, mas “isso não os impedirá”, diz Ngo. “É só uma questão de tempo.” Uma conversa exclusiva com o cientista-chefe da OpenAI, Jakub Pachocki, sobre o novo grande desafio de sua empresa e o futuro da IA. Exclusivo: o spinout de IA da Niantic está treinando um novo modelo de mundo usando 30 bilhões de imagens de pontos de referência urbanos obtidos de jogadores. Allison Nixon ajudou a prender dezenas de membros do Com, uma afiliação independente de grupos online responsáveis pela violência e campanhas de hackers. Então ela se tornou um alvo. Descubra ofertas especiais, notícias principais,

próximos eventos e muito mais. Estamos tendo problemas para salvar suas preferências. Tente atualizar esta página e atualizá-la mais uma vez. Se você continuar recebendo esta mensagem, entre em contato conosco pelo e-mail customer-service@technologyreview.com com uma lista de boletins informativos que gostaria de receber.