Criminosos usam Telegram para burlar verificações de identidade em bancos
Aprofundamento CEVIU
Aprofundamento
O Telegram deixou de ser apenas um canal de comunicação para se tornar uma infraestrutura criminosa completa: grupos fechados vendem câmeras virtuais, deepfakes em tempo real e kits de hooking capazes de injetar código malicioso diretamente nos aplicativos bancários durante a verificação KYC. Essas ferramentas não são amadoras, elas enganam sistemas que usam detecção de vivacidade baseada em movimento ocular, piscar e iluminação, e já foram usadas para fraudar fintechs brasileiras que adotaram onboarding 100% digital. Um relatório da Sumsub mostra que tentativas de fraude multi-etapa com câmera virtual quase triplicaram entre 2025 e 2026, e a iProov registrou aumento de 25x no uso global dessas técnicas em 2024 frente a 2023.
Essa escalada tem custo real: o Pix registrou R$ 2,5 bilhões em tentativas de fraude em 2025, e o custo médio de resposta a um incidente com deepfake supera US$ 4 milhões em grandes bancos. O que diferencia esse ciclo é a industrialização, o Kali365, por exemplo, é um serviço de phishing-as-a-service operado via Telegram que já foi rastreado atacando contas Microsoft 365 com iscas como 'SharePoint, Documento Compartilhado', mostrando que o mesmo ecossistema criminoso que explora e-mails corporativos também alimenta golpes contra KYC bancário.
Por que isso importa
Bancos e fintechs estão sob pressão dupla: enquanto o Banco Central endurece regras de due diligence digital, os ataques evoluem mais rápido do que as atualizações de segurança. Uma fraude bem-sucedida não só causa perda financeira direta, mas também compromete a confiança no Pix e em serviços digitais regulados pela Resolução 117/2023 do BCB. O custo operacional de uma fraude é 4,59 vezes o valor nominal perdido, isso inclui investigação, notificações legais, multas regulatórias e impacto na reputação. Empresas que ainda dependem de captura de selfie estática ou de validação de documento sem análise comportamental estão expostas a riscos crescentes, especialmente com a proliferação de identidades sintéticas, cujo ciclo médio de detecção ultrapassa 18 meses nos EUA e já começa a aparecer em cadastros de crédito brasileiros.
Linha do tempo
FBI alerta sobre o serviço de phishing Kali365, operado via Telegram, que rouba tokens de acesso do Microsoft 365
Criminosos usam Telegram para burlar verificações de identidade em bancos via KYC
Perguntas frequentes
Como uma câmera virtual consegue burlar o KYC bancário?
Ela simula em tempo real os movimentos exigidos pelo sistema de verificação, como virar a cabeça, piscar ou mover os olhos, usando feed de vídeo gerado por IA. Ferramentas como o OBS Virtual Camera ou soluções personalizadas vendidas em canais do Telegram injetam esse feed diretamente no app bancário, enganando algoritmos que esperam sinais de vivacidade humana autêntica.
O Telegram realmente permite essas atividades ilegais?
Sim, a plataforma é usada como marketplace e hub operacional. Grupos privados oferecem desde dados biométricos roubados até tutoriais passo a passo para contornar sistemas de KYC. Embora o Telegram tenha removido 15 milhões de contas e grupos em 2024, sua arquitetura descentralizada e criptografia de ponta a ponta dificultam a moderação eficaz, especialmente em canais com menos de 200 membros.
Quais medidas reais estão funcionando contra esse tipo de fraude?
Bancos como Itaú e Nubank começaram a exigir múltiplas camadas de verificação: análise comportamental (tempo de digitação, movimento do mouse), validação cruzada com bases de CPF e CNPJ em tempo real, e detecção de anomalias em hardware (como uso simultâneo de VPN + emulador). A Binance bloqueou US$ 10,53 bilhões em fraudes com IA em 2025, mostrando que modelos treinados com dados de fraude real têm maior taxa de acerto do que regras estáticas.
O que muda para o cliente final ao abrir uma conta digital hoje?
Nada aparentemente, mas por trás da interface, há mais etapas ocultas: análise de padrão de iluminação na selfie, verificação de latência entre comando e execução do movimento, e comparação com histórico de dispositivos associados ao CPF. Se o sistema detectar inconsistências, o processo pode ser redirecionado para análise humana ou exigir documentação física, aumentando o tempo de onboarding em até 48 horas.
Fontes
- technologyreview.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 01 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
