De dentro de um centro de lavagem de dinheiro no Camboja, um funcionário abre, no celular, o aplicativo de um popular banco vietnamita. O aplicativo pede a ele para enviar uma foto associada à conta, então ele clica na imagem de um homem asiático na faixa dos 30 anos.
Em seguida, o aplicativo solicita abrir a câmera para uma checagem em vídeo ao vivo. O golpista usa a imagem estática de uma mulher sem qualquer semelhança com o homem que é dono da conta. Após 90 segundos, enquanto o aplicativo lhe diz para enquadrar melhor o rosto, ele consegue entrar.
O golpe que o homem está demonstrando, em um vídeo compartilhado comigo pelo pesquisador de golpistas cibernéticos chamado Hieu Minh Ngo, é possível graças ao crescimento de uma gama de serviços ilícitos de invasão disponíveis no Telegram, projetados para burlar varreduras faciais de “Conheça seu cliente” (Know Your Customer- KYC).
Esses mecanismos de segurança de bancos e corretoras de criptomoeda, supostamente, devem confirmar que uma conta pertence a uma pessoa real e que o rosto do usuário corresponde aos documentos de identidade que foram fornecidos para abrir a conta. Os golpistas, no entanto, estão contornando as barreiras com o objetivo de abrir contas-laranjas e lavar dinheiro. Ao invés de usar uma transmissão ao vivo da câmera do telefone para uma verificação de prova de vida, as invasões normalmente empregam uma ferramenta conhecida como câmera virtual. Nela, os usuários conseguem utilizar outros vídeos ou fotos, mostrando uma pessoa real ou gerada por IA, e até mesmo um objeto.
Enquanto as instituições financeiras implementam medidas de segurança aprimoradas, com o objetivo de parar os golpistas cibernéticos, essas soluções alternativas são a rodada mais recente nesse jogo de gato e rato entre operadores criminosos e o setor de serviços financeiros.
Ao longo de uma investigação de dois meses, no início do ano, a MIT Technology Review identificou 22 canais e grupos públicos de Telegram em chinês, vietnamita e inglês, que anunciavam kits de desvio e dados biométricos roubados. Os programas usam uma variedade de métodos para comprometer sistemas operacionais de telefones e aplicativos bancários, permitindo que os usuários contornem as verificações de conformidade impostas por instituições financeiras, que vão de grandes corretoras de criptomoedas, como a Binance, até bancos de marcas conhecidas como o BBVA, que tem sede na Espanha.
“Especializados em serviços bancários, lidando com dinheiro sujo” dizia a recém-apagada descrição do Telegram usado pela lavadora de dinheiro do Camboja. Um emoji de “joinha” e os dizeres “Seguro. Profissional. Alta qualidade” completavam a apresentação. Alguns desses canais e grupos tinham milhares de assinantes ou membros. Muitos postavam tópicos com uma lista de serviços (“Todo tipo de serviço de verificação KYC”; “É tudo tranquilo e sem falhas”), além de vídeos que exibiam golpes bem-sucedidos.
O Telegram afirma que, após revisar as contas, removeu todas elas por violarem os termos de serviço, mas esses mercados online se proliferam facilmente, e múltiplos canais e grupos que anunciam ferramentas parecidas permanecem ativos.
Bancos e “pig-butchering”
O aumento nos desvios de KYC vem ocorrendo junto à expansão da indústria global de golpes cibernéticos conhecidos como “pig-butchering” (“abate de porcos”, em livre tradução). Plataformas de criptomoedas e bancos em todo o mundo estão enfrentando uma fiscalização crescente sobre o fluxo de dinheiro obtido ilegalmente, incluindo lucros desses golpes. Isso levou ao endurecimento das regulamentações bancárias em países como Vietnã e Tailândia, onde os governos aumentaram os requisitos de verificação de clientes e o monitoramento de fraudes. Eles também estão pressionando por mecanismos de segurança mais rigorosos de combate à lavagem de dinheiro na indústria das criptomoedas.
Chainalysis, uma empresa americana de análise de blockchain, estima que, em 2025, foram roubados cerca de 17 bilhões de dólares em golpes e fraudes com criptomoedas. No ano de 2024, foram 13 bilhões de dólares. Enquanto isso, o Escritório das Nações Unidas sobre Drogas e Crimes (UNODC) alertou, em um relatório recente, que a expansão de sindicatos de golpes asiáticos ajudou a indústria na África e no Pacífico a “aumentar drasticamente os lucros”.
Essa combinação de fatores: mais fiscalização, mas também mais receita, levou os desvios de KYC ao centro do mercado online para golpes cibernéticos e cassinos de lavagem de dinheiro. Embora as estimativas variem, pesquisadores de cibersegurança dizem que esse tipo de ataque está crescendo. A iProov, uma companhia de verificação biométrica, estimou que ataques com câmeras virtuais foram 25 vezes mais comuns no mundo todo em 2024, em relação a 2023. Já a Sumsub, companhia de fornecimento de serviços de KYC, reportou que tentativas de fraude “sofisticadas” ou com múltiplas etapas, incluindo desvios com câmera virtual, quase triplicaram entre os clientes no último ano.
Três instituições financeiras que foram citadas como alvos nesses canais do Telegram (a Binance, a BBVA e a Revolut, baseada no Reino Unido) me disseram que estão cientes desses desvios e enfatizam que se trata de um desafio de toda a indústria. Um porta-voz da Binance disse que a empresa “observou tentativas dessa natureza para contornar nossos controles”, acrescentando que “temos prevenido com sucesso esses ataques e permanecemos confiantes em nossos sistemas”. A BBVA e a Revolut se recusaram a comentar se os mecanismos de segurança das empresas foram violados.
É difícil estimar taxas de sucesso, porque as empresas podem não estar cientes dos desvios, ou reportá-los muito tarde. “O importante é o que não vemos”, disse-me Artem Popov, chefe de produtos de prevenção a fraudes da Sumsub, referindo-se aos ataques que não foram identificados. “Sempre tem uma parte da história que pode estar completamente escondida diante dos nossos olhos, ou dos olhos de qualquer companhia do setor, usando qualquer tipo de fornecedor de KYC”.
Como criminosos navegam por um labirinto de conformidade
Os anúncios das explorações parecem simples o suficiente, mas, nos bastidores, construir um desvio bem-sucedido é complexo e frequentemente envolve múltiplos métodos. Alguns canais oferecem fazer um desbloqueio do sistema em um telefone físico, para que os golpistas possam acionar o uso de uma câmera virtual (VCam), ao invés da câmera integrada ao aparelho, sempre que quiserem. Outras invasões injetam um código conhecido como “framework de hooking” no aplicativo de uma instituição financeira para acionar a abertura da câmera virtual. De qualquer forma, as VCams podem ser usadas para enganar os mecanismos de defesa de KYC com imagens ou vídeos que substituem o vídeo original e ao vivo do proprietário da conta.
Sergiy Yakymchuk, CEO da Talsec, uma empresa de cibersegurança que atende principalmente instituições financeiras, analisou detalhes dos canais de Telegram identificados pela MIT Technology Review e afirma que eles são condizentes com táticas bem-sucedidas que foram usadas contra clientes bancários e de criptomoedas. Ao longo do ano passado, a equipe de Sergiy recebeu pedidos de ajuda de bancos e corretoras por cerca de 30 desvios baseados nas câmeras virtuais, um número bem acima dos menos de dez ocorridos em 2023.
Cada vez mais, hackers comprometem tanto o próprio telefone quanto o código dos aplicativos das instituições financeiras, antes de alimentar a câmera virtual com uma mistura de biometria roubada e deepfakes, explica Yakymchuk.
“Há algum tempo, era suficiente descompilar o aplicativo de um banco e distribuir no Telegram, e isso era tudo o que você precisava”, diz ele, “Agora, não é suficiente, porque você tem KYC e cada vez mais coisas são necessárias”.
Para quem faz lavagem de dinheiro, os desvios de KYC “se tornaram essenciais para tudo agora, porque os complexos de golpes precisam mover dinheiro”, diz Ngo, o pesquisador que compartilhou o vídeo demonstrando um golpe cibernético. Ex-hacker condenado, que se tornou conselheiro de cibersegurança do governo vietnamita, Ngo, agora, administra uma organização sem fins lucrativos contra golpes e ajuda as autoridades na investigação da lavagem de dinheiro.
Ele descreve como o processo funciona no caso de golpes do tipo “pig-butchering”: fundos originados das vítimas são recebidos em contas bancárias controladas ou alugadas por uma rede de lavagem de dinheiro, conhecida coloquialmente como “casas de água”. Lavadores de dinheiro usam desvios de KYC para acessar as contas e redistribuir rapidamente os lucros antes de convertê-los em ativos digitais, normalmente na forma da stablecoin Tether, um tipo de criptomoeda atrelada ao dólar americano.
Essas transações costumam acontecer em segundos. “Eles sabem, claramente, o fluxo de como os bancos verificam ou autenticam contas”, diz Ngo.
Um jogo de gato e rato
O crescimento da lavagem de dinheiro de golpes cibernéticos levou a uma maior fiscalização sobre instituições financeiras. Em 2023, a Binance se declarou culpada em tribunais federais dos Estados Unidos, por operar sem medidas de segurança contra a lavagem de dinheiro. Em outubro do ano passado, Donald Trump concedeu perdão ao ex-CEO da Binance, Changpeng Zhao.
Análise recente feita pelo Consórcio Internacional de Jornalistas Investigativos mostrou que, após Zhao se declarar culpado, mais de 400 milhões de dólares continuaram a ser transferidos para a Binance, a partir do Huione Group, uma empresa com sede no Camboja, contra a qual os Estados Unidos impuseram sanções depois que o Departamento do Tesouro a considerou um “nó crítico” para lavagem de dinheiro nos golpes tipo “pig-butchering”.
A Binance afirma ter “sistemas de segurança de última geração”, que impediram perdas de bilhões de dólares em fraudes. A empresa também atendeu a mais de 71 mil solicitações de autoridades policiais em 2025.
Mas John Griffin, especialista em finanças e blockchain da Universidade do Texas em Austin, não acha que as corretoras sejam suficientemente seguras. “Mesmo com toda essa divulgação do tipo ‘Ah, sim, mudamos isso e aquilo’, a prova está no resultado. Os criminosos ainda estão usando sua corretora”, disse-me Griffin sobre o setor em geral. “Então deve haver brechas” (A Binance diz que “contesta as conclusões duvidosas” do trabalho de Griffin, que rastreia o fluxo de lucros criminosos por meio de corretoras como Binance, Huobi, OKX e Tokenlon, e o considera “enganoso, no mínimo, e, no pior dos casos, completamente impreciso”).
A Binance também aponta que alguns supostos serviços de desvio já são golpes por si mesmos e levanta dúvidas se os desvios bem-sucedidos são tão disseminados quanto o mercado no Telegram pode sugerir. Interagir com esses serviços “expõe os indivíduos a riscos de segurança significativos”, disse um porta-voz. “Mesmo onde o acesso parece ser garantido, as contas, muitas vezes, já estão restritas por controles internos de detecção e conformidade, tornando-as não funcionais para negociação ou saques”.
Reguladores em todo o mundo estão tentando acompanhar. Na Tailândia, onde as contas bancárias dos cidadãos servem regularmente como laranjas para golpes cibernéticos baseados no vizinho Myanmar e no Camboja, uma nova legislação reforçou o monitoramento de KYC, limitou transações diárias e fortaleceu a capacidade de órgãos de supervisão de suspender contas. No final de 2024, o regulador de lavagem de dinheiro dos Estados Unidos (The Financial Crimes Enforcement Network) emitiu um alerta contra deepfakes de KYC e o uso de câmeras virtuais (VCams), encorajando plataformas a monitorar padrões mais amplos de transações para identificar lavagem de dinheiro.
Para os golpistas, quaisquer novos requisitos de segurança ou de reporte vão tornar os desvios mais difíceis, mas “isso não vai impedi-los”, diz Ngo. “É só uma questão de tempo”.
.
Fiona Kelliher .
