Phishing bancário e fraude de marca: como instituições financeiras estão respondendo a ataques contra seus clientes

O cliente de um banco não precisa cometer nenhum erro técnico para ser vítima de fraude. Ele só precisa confiar. Confiar em um SMS que parece ter vindo do banco, em uma página que parece idêntica ao internet banking de sempre, em um perfil no Instagram com a logo certa oferecendo crédito fácil. O ataque não explora uma vulnerabilidade de sistema, explora a confiança que o próprio banco passou anos construindo com aquele cliente.
Esse é o vetor mais crítico, e mais difícil de eliminar, enfrentado por instituições financeiras hoje: fraude que usa a marca do banco como arma contra os próprios clientes dele.
A escala do problema no Brasil
Os números deixam claro que não se trata de um risco marginal. Segundo dados da Serasa, o Brasil registrou 6,9 milhões de tentativas de fraude apenas no primeiro semestre de 2025, uma a cada 2,3 segundos, e bancos e cartões foram alvo de mais da metade desses casos, muitos envolvendo links maliciosos enviados por SMS, WhatsApp ou redes sociais.
O CERT.br, responsável por monitorar oficialmente incidentes de segurança no Brasil, mantém estatísticas públicas de páginas falsas usadas em tentativas de phishing voltadas a obter vantagem financeira direta, justamente a categoria que inclui bancos, cartões de crédito e meios de pagamento. Esse acompanhamento contínuo existe porque o volume e a persistência desse tipo de ataque tornaram necessário um sistema dedicado de rastreamento, separado das estatísticas gerais de incidentes.
Dados da Febraban reforçam o padrão: entre os golpes financeiros mais aplicados contra brasileiros estão a clonagem de cartão por aproximação, respondendo por cerca de 40% das fraudes reportadas, o golpe via WhatsApp clonado, com 28%, e o golpe da falsa central bancária, em que criminosos se passam por funcionários do banco para induzir transferências ou vazamento de dados.
Páginas falsas de internet banking: o clássico que continua funcionando
A técnica mais tradicional de phishing bancário segue sendo também uma das mais eficazes: replicar visualmente a página de login de um banco, hospedá-la em um domínio parecido com o oficial, e distribuir o link através de canais que parecem legítimos.
Um caso histórico bem documentado no Brasil ilustra a escala que esse tipo de ataque pode alcançar rapidamente. Criminosos usaram ilegalmente o nome do Santander e do Banco do Brasil para espalhar um golpe via SMS, informando às vítimas que seu cartão estava bloqueado ou que o token de segurança havia expirado. Segundo levantamentos de laboratórios de segurança especializados em combate ao cibercrime , o golpe fez mais de 33 mil vítimas em apenas uma semana, com potencial de alcançar mais de 400 mil pessoas. A mensagem levava a uma página falsa que induzia a vítima a fornecer CPF, dados completos do cartão de crédito e senhas.
O Santander, em conteúdo educativo próprio sobre o tema, orienta que seus e-mails oficiais são enviados exclusivamente pelo domínio @santander.com.br e que qualquer link recebido de remetente diferente deve ser tratado como suspeito. A própria instituição reconhece publicamente que páginas falsas idênticas ao site original são a isca mais comum usada contra seus clientes, e mantém um canal direto ([email protected]) para que qualquer comunicação suspeita em nome do banco seja analisada pelo time de segurança. Para enganar os usuários, os criminosos não usam apenas URLs completamente aleatórias. Eles utilizam o typosquatting (registro de erros de digitação comuns, como santander-suporte.com.br) ou técnicas mais avançadas como o IDN Homograph Attack. Neste último, os atacantes registram domínios contendo caracteres de alfabetos cirílicos que são visualmente idênticos aos caracteres latinos (por exemplo, substituir a letra "a" ocidental por um "а" cirílico). Na tela do celular do cliente, o nome do banco parece 100% correto, mas o link aponta para um servidor criminoso.
Golpes de "empréstimo facilitado": phishing que não precisa nem imitar o app
Uma variação particularmente eficaz de fraude de marca no setor financeiro nem sempre depende de replicar tecnicamente um sistema bancário. Basta um perfil em rede social com a logo da instituição e uma oferta atraente.
O padrão é consistente: criminosos criam perfis falsos ou anúncios em redes sociais se passando por bancos e financeiras legítimas, oferecendo crédito com condições muito vantajosas, aprovação garantida ou liberação sem consulta ao CPF. Após o primeiro contato, pedem o pagamento antecipado de uma taxa, seguro ou imposto para "liberar" o valor. Uma vez feito o pagamento, os criminosos desaparecem, e em muitos casos o golpe se repete, com novas cobranças alegando pendências na liberação.
O Banco Central e a Febraban são categóricos sobre esse ponto: nenhuma instituição financeira autorizada pelo Banco Central pode cobrar valores antecipados para liberar crédito, e instituições financeiras não buscam clientes ativamente oferecendo dinheiro por mensagem ou rede social. Quando uma instituição promove uma campanha de crédito real, a divulgação acontece pela imprensa e pelos canais oficiais da própria marca, não por abordagem direta e individual via WhatsApp ou Instagram.
O dano desse golpe vai além da perda financeira imediata. Muitas vítimas chegam a compartilhar documentos pessoais durante o processo, dados que podem ser usados posteriormente para abrir contas ou contratar empréstimos reais em nome da vítima, ampliando o prejuízo muito além do valor da "taxa" inicial paga ao golpista.
Apps fraudulentos: quando a loja oficial não garante a origem
Outro vetor crescente é a publicação de aplicativos falsos que imitam apps bancários legítimos, às vezes até dentro das lojas oficiais de aplicativos. Esses apps costumam usar nomes ou logotipos muito semelhantes aos originais, com pequenas diferenças na grafia, na cor ou no nome do desenvolvedor que passam despercebidas por usuários apressados.
Sinais que ajudam a identificar esse tipo de fraude incluem avaliações inconsistentes, número anormalmente baixo de downloads, solicitação de permissões excessivas no dispositivo, e ausência de informações claras sobre a instituição responsável pelo aplicativo. Casos de aplicativos clonados disponíveis nas lojas oficiais já geraram dezenas de denúncias registradas por usuários, segundo relatos do setor de segurança digital.
Combinado a isso, cresceu também o uso de aplicativos legítimos de acesso remoto, como AnyDesk e TeamViewer, como ferramenta de fraude: criminosos ligam se passando por atendentes do banco e convencem a vítima a instalar esses programas sob pretexto de suporte técnico, obtendo controle total do dispositivo e, em consequência, acesso direto às contas bancárias. Por serem aplicativos amplamente reconhecidos e usados legitimamente para assistência técnica, sua presença no celular não costuma despertar suspeita imediata.
Por que esse vetor é tão difícil de eliminar pela raiz
Diferente de uma vulnerabilidade técnica em um sistema, que pode ser corrigida com um patch, a fraude de marca explora um ativo que o banco não controla diretamente: a confiança que o próprio nome da instituição carrega. O banco pode proteger seus servidores, mas não impede diretamente que um criminoso registre um domínio parecido, crie um perfil falso em rede social, ou compre um número de telefone para fazer spoofing de uma central de atendimento. No golpe da falsa central telefônica, os criminosos utilizam serviços de VoIP configurados para realizar o Caller ID Spoofing. Isso significa que eles conseguem mascarar o número de origem da chamada para que, na tela do celular da vítima, apareça exatamente o número real do 0800 ou o número de chamadas de cartões da sua instituição. O cliente atende acreditando piamente na legitimidade do contato por causa do identificador de chamadas.
Isso exige uma resposta diferente da que normalmente se associa à cibersegurança bancária. Não basta proteger o perímetro técnico da instituição, é necessário monitorar continuamente o ambiente externo, internet, redes sociais, lojas de aplicativos, em busca de usos não autorizados da marca, e agir rapidamente para neutralizar cada ocorrência antes que ela alcance escala, como demonstrou o caso de 33 mil vítimas em uma única semana.
Como instituições financeiras estão estruturando a resposta
As instituições mais maduras no enfrentamento desse problema têm adotado uma combinação de práticas:
Comunicação proativa e educação contínua do cliente. Bancos como Santander e Banco do Brasil mantêm páginas educativas públicas explicando exatamente como reconhecer comunicações oficiais, detalhando domínios de e-mail legítimos e reforçando que a instituição nunca solicita senha, código de verificação ou dados completos de cartão por link, mensagem ou telefone.
Canais dedicados para reporte de fraude de marca. A existência de um e-mail ou canal específico para denúncia de phishing (como o [email protected]) permite que o próprio cliente se torne parte do sistema de detecção, sinalizando rapidamente novas campanhas fraudulentas antes que se espalhem.
Verificação de identidade dentro do próprio aplicativo. O recurso de identificação de chamadas suspeitas integrado ao aplicativo bancário, citado pelo Santander, permite que o cliente confirme dentro do ambiente oficial se uma ligação é legítima antes de compartilhar qualquer informação, invertendo a lógica de confiança que o golpe da falsa central tenta explorar.
Monitoramento contínuo de domínios, perfis e aplicativos que usam a marca. A detecção precoce de páginas falsas, perfis fraudulentos em redes sociais e aplicativos clonados é o que permite agir antes que uma campanha alcance milhares de vítimas, em vez de apenas responder depois que o dano já está feito.
Ação coordenada de remoção (takedown). Identificar uma página de phishing não é suficiente, é preciso um processo estruturado de solicitação de remoção junto a provedores de hospedagem, registradores de domínio e plataformas de redes sociais, reduzindo o tempo de exposição ativa da ameaça.
Como o QuimeraX atua nesse cenário
O módulo de Phishing, dentro do conjunto de Brand Protection do QuimeraX, monitora continuamente a internet em busca de páginas que apresentem similaridade estrutural e visual com domínios legítimos de instituições financeiras, identificando réplicas de internet banking antes que alcancem o volume de vítimas observado em campanhas históricas como a que afetou Santander e Banco do Brasil.
O módulo de Fake Social Media identifica perfis falsos em redes sociais que utilizam a identidade visual da instituição, exatamente o padrão usado em golpes de "empréstimo facilitado", analisando nome, imagem, descrição e padrão de publicação para classificar o risco antes que o perfil ganhe alcance significativo. Já o módulo de Brands monitora o uso indevido da marca em lojas de aplicativos e páginas públicas, ajudando a identificar apps fraudulentos que imitam aplicativos bancários oficiais.
Uma vez identificada a ameaça, o módulo de Takedown centraliza as evidências coletadas e estrutura o processo de solicitação de remoção junto a provedores, registradores de domínio e plataformas digitais, acompanhando o ciclo completo até a confirmação da remoção. O diferencial está em reduzir o tempo entre a primeira detecção e a neutralização efetiva da ameaça, a métrica que mais importa quando uma campanha fraudulenta pode atingir milhares de clientes em poucos dias.
Quer saber se a marca da sua instituição já está sendo usada em campanhas de fraude que você ainda não detectou? Agende uma demonstração com o time do QuimeraX e veja como os módulos de Brand Protection e Takedown atuam na prática contra phishing bancário e fraude de identidade.
Conclusão
A fraude de marca no setor financeiro não é um problema que se resolve apenas fortalecendo a segurança interna dos sistemas do banco. Ela acontece no espaço público da internet, em domínios que o banco não registrou, em perfis que o banco não criou, em aplicativos que o banco não publicou, mas que carregam o nome dele e exploram a confiança que ele construiu ao longo de anos.
Os casos documentados no Brasil, das dezenas de milhares de vítimas de SMS falsos em uma única semana aos golpes de empréstimo que continuam fazendo vítimas anos depois de alertados repetidamente pelo Banco Central, mostram que esse vetor não desaparece com campanhas pontuais de conscientização. Ele exige monitoramento contínuo do ambiente externo e capacidade de resposta rápida, a única forma real de reduzir a janela de tempo em que uma campanha fraudulenta consegue operar livremente usando o nome de uma instituição em que o cliente confia.