Fraude

Um estudo da plataforma de open banking Tink revelou que as pequenas e médias empresas (PMEs) do Reino Unido perderam £6,15 bilhões em vendas diretas em 2024, devido à falta de confiança dos consumidores em transferências bancárias manuais. Além disso, estima-se que £31,4 bilhões foram perdidos indiretamente, com clientes optando por não retornar. A fraude por pagamento autorizado (APP), onde consumidores são enganados a transferir dinheiro para contas de golpistas, resultou em perdas de £450 milhões no mesmo ano. A pesquisa indica que 41% dos consumidores se afastam ao serem solicitados a realizar transferências manuais, e 57% não confiam em empresas que pedem esse tipo de pagamento. Apesar disso, 87% das PMEs ainda dependem de transferências manuais como método de pagamento preferido, evidenciando a necessidade urgente de modernização. Métodos de pagamento mais seguros, como o ‘Pay by Bank’, que permite pagamentos diretos através de aplicativos bancários, estão se tornando essenciais para aumentar a confiança do consumidor e reduzir o risco de fraudes. Essa mudança não apenas melhora a experiência de pagamento, mas também acelera o processo de transação, beneficiando tanto consumidores quanto empresas.

Recentemente, bancos europeus, especialmente na Alemanha, congelaram bilhões de euros em transações do PayPal devido a uma falha no sistema de detecção de fraudes da plataforma. O problema surgiu quando o PayPal enviou uma quantidade significativa de débitos diretos aos bancos sem passar pelos devidos filtros de segurança, resultando em um aumento suspeito de transações que foram rapidamente sinalizadas pelos sistemas bancários. Instituições como Bayerische Landesbank e DZ-Bank interromperam temporariamente todas as atividades relacionadas ao PayPal, afetando comerciantes que enfrentaram atrasos nos pagamentos, mesmo com os clientes mantendo seus fundos. O total de valores envolvidos pode ultrapassar €10 bilhões. O PayPal confirmou a interrupção, alegando que o problema foi resolvido rapidamente, mas a situação destaca os riscos associados a falhas em sistemas que lidam com uma parte significativa do comércio online. Além disso, a recente associação do PayPal com o vazamento de milhões de dados de contas na dark web levanta preocupações sobre a segurança das contas online dos usuários.

Em uma ação coordenada, o Escritório do Procurador dos EUA para o Distrito do Novo México e o FBI anunciaram a apreensão de plataformas online que forneciam documentos de identidade falsificados para criminosos cibernéticos em todo o mundo. A operação desmantelou o ‘VerifTools’, um mercado ilícito que produzia e distribuía carteiras de motorista, passaportes e outros documentos de identificação falsos, projetados para contornar sistemas de verificação e facilitar acessos não autorizados a contas. A investigação, iniciada em agosto de 2022, revelou uma rede global de contrabando que oferecia documentos falsificados de alta qualidade para todos os 50 estados dos EUA e várias nações estrangeiras, com preços a partir de nove dólares por documento, transacionados exclusivamente em criptomoedas para evitar a fiscalização bancária. A análise de registros de blockchain relacionados a essas transações levou os investigadores a rastrear aproximadamente 6,4 milhões de dólares em lucros ilícitos. A operação destaca a importância da colaboração internacional e interagências para combater o crime cibernético, com implicações significativas para a segurança pública e a proteção contra fraudes e roubo de identidade.

Um alerta de um denunciante revelou que uma cópia não monitorada dos dados de Segurança Social dos Estados Unidos está armazenada em um ambiente de nuvem inseguro, colocando mais de 300 milhões de americanos em risco de roubo de identidade e perda de benefícios essenciais. Charles Borges, Diretor de Dados da Administração da Segurança Social (SSA), apresentou a denúncia em 26 de agosto de 2025, alegando que funcionários do Departamento de Eficiência Governamental (DOGE) criaram uma cópia ao vivo dos dados sem a devida supervisão. A denúncia aponta que o acesso não autorizado a esses dados poderia permitir que agentes maliciosos roubassem números de Segurança Social, interrompessem o acesso a programas de assistência e forçassem o governo a reemitir números de Segurança Social em larga escala. A situação gerou uma resposta interna da SSA, que agora enfrenta um intenso escrutínio de legisladores e órgãos de supervisão, com audiências programadas para setembro de 2025. Os cidadãos são aconselhados a monitorar seus relatórios de crédito e a considerar alertas de fraude, enquanto as agências federais devem alinhar iniciativas de detecção de fraudes com uma governança de dados robusta.

Pesquisadores de segurança da GoDaddy revelaram uma operação sofisticada de um Sistema de Direcionamento de Tráfego (TDS) que utiliza sites WordPress comprometidos para distribuir fraudes de suporte técnico desde 2017. Nomeada Help TDS, essa operação infectou cerca de 10.000 sites WordPress globalmente por meio de um plugin malicioso disfarçado de uma extensão legítima do WooCommerce. A operação se especializa na criação de alertas de segurança falsos do Microsoft Windows, utilizando técnicas avançadas de manipulação de navegador para prender as vítimas em páginas de golpe. Esses alertas falsos empregam funções JavaScript em tela cheia para ocultar elementos de navegação e implementar mecanismos de prevenção de saída, criando a ilusão de avisos de segurança legítimos. O plugin malicioso, denominado ‘woocommerce_inputs’, evoluiu rapidamente, introduzindo funcionalidades de coleta de credenciais e filtragem avançada de tráfego. A versão mais recente, 2.0.0, apresenta um design orientado a objetos e capacidades de atualização autônoma, permitindo que os atacantes mantenham operações persistentes. A operação exemplifica a evolução dos serviços cibernéticos criminosos, que se tornam cada vez mais sofisticados e orientados a serviços, maximizando as taxas de conversão de vítimas por meio de técnicas comprovadas de engenharia social.

Um novo tipo de fraude conhecido como “ghost tapping” está se espalhando rapidamente, especialmente no Sudeste Asiático, desde 2020. Essa prática envolve o uso de dados de cartões de pagamento roubados, frequentemente obtidos por meio de phishing e engenharia social, que são carregados em celulares descartáveis, conhecidos como “burner phones”. Os criminosos conseguem contornar a segurança interceptando senhas de uso único enviadas às vítimas e, em seguida, utilizam esses dados para realizar compras em lojas ou retirar dinheiro de caixas eletrônicos. As mercadorias adquiridas, como joias e eletrônicos, são rapidamente revendidas em canais clandestinos, como o Telegram. Apesar das ações policiais, as redes de fraude se adaptaram, migrando para plataformas alternativas que continuam a facilitar essas transações fraudulentas. A falta de verificações rigorosas de identidade em muitos estabelecimentos torna a detecção de fraudes no ponto de venda extremamente difícil. Em Cingapura, por exemplo, a polícia registrou centenas de incidentes relacionados a dados de cartões de pagamento, resultando em perdas significativas. A situação exige que bancos, varejistas e provedores de pagamento adotem medidas mais robustas de segurança e autenticação para proteger os consumidores e mitigar os riscos associados a essa nova onda de fraudes.

Noah Michael Urban, um jovem de 20 anos da Flórida, conhecido como “King Bob” nas comunidades de música online, foi condenado a 10 anos de prisão federal após se declarar culpado por conspiração, fraude eletrônica e roubo de identidade agravado. Além da pena de prisão, Urban foi condenado a pagar US$ 13 milhões em restituição a 59 vítimas de roubo de criptomoedas, ligadas à sua participação na organização criminosa “Scattered Spider”. Urban ganhou notoriedade por vazar músicas não lançadas de artistas renomados, utilizando táticas de cibercrime sofisticadas, como ataques de troca de SIM, que lhe permitiram acessar contas de executivos da indústria musical. Sua atuação não se limitou à pirataria musical; ele também foi um membro chave do Scattered Spider, que se especializa em ataques de engenharia social contra grandes corporações, incluindo ataques a cassinos em Las Vegas que resultaram em milhões de dólares em danos. A investigação federal que levou à sua prisão revelou que Urban e seus cúmplices roubaram pelo menos US$ 800 mil de cinco vítimas na Flórida, utilizando técnicas de troca de SIM para obter informações pessoais e contornar autenticações de dois fatores. O caso destaca a interseção entre pirataria na indústria do entretenimento e crimes cibernéticos graves, evidenciando como indivíduos podem transitar de atividades aparentemente inofensivas para empreendimentos criminosos internacionais.

O Conselho Empresarial do Estado de Nova York (BCNYS) confirmou ter sido alvo de um ataque cibernético que resultou no roubo de informações sensíveis de mais de 47 mil pessoas. O incidente ocorreu em fevereiro de 2025, mas foi detectado apenas em agosto do mesmo ano. Dados comprometidos incluem nomes completos, números de Seguro Social, datas de nascimento, informações financeiras, dados de cartões de pagamento, além de informações de saúde, como diagnósticos e tratamentos médicos. Embora até o momento não haja evidências de uso indevido das informações, os especialistas alertam que os dados podem ser utilizados para fraudes, como abertura de contas bancárias e compras não autorizadas. As vítimas são aconselhadas a monitorar suas contas, ativar alertas de fraude e considerar a proteção contra roubo de identidade. O BCNYS oferece serviços de monitoramento de crédito gratuitamente para os afetados. A situação destaca a importância da segurança cibernética e da vigilância constante em um cenário onde os dados pessoais estão cada vez mais vulneráveis a ataques.