FBI desmantela rede de cibercrime baseada na China com prejuízo de US$ 1,9 bilhão

A Outsider não era só mais um grupo de phishing: era uma fábrica industrial de golpes com IA integrada. Desde julho de 2023, ela vendia kits prontos para criminosos iniciantes, com tutoriais que ensinavam como usar o Gemini para gerar páginas falsas de bancos, E-ZPass e operadoras, inclusive com suporte a múltiplos métodos de verificação (SMS, PIN, app approval) para driblar MFA. A infraestrutura incluía 9.000 sites falsos e 1 milhão de URLs, muitos hospedados em provedores norte-americanos, o que permitiu ao FBI redirecioná-los em massa para uma página informativa.

O prejuízo de US$ 1,9 bilhão vem de 3,87 milhões de cartões roubados, mas o verdadeiro risco está na escalabilidade: por US$ 88/semana, qualquer pessoa com acesso ao Telegram podia virar operador de fraude. O Google usou a Lei RICO contra eles, um movimento raro em casos de PhaaS, e já moveu segunda ação desse tipo em sete meses, após derrubar a Lighthouse em novembro de 2025. Isso mostra que o modelo 'PhaaS + IA' deixou de ser nicho e virou prioridade operacional para agências e gigantes de tecnologia.

Empresas não estão mais apenas sob ataque: estão sendo alvo de serviços terceirizados que automatizam a engenharia social com IA. Um kit da Outsider permitia gerar campanhas de phishing em minutos, com domínios falsos que imitavam instituições reais até no comportamento de login, incluindo solicitação simultânea de SMS e push notification. Isso invalida controles tradicionais de detecção baseados em padrões de URL ou conteúdo estático. A resposta exige atualização urgente de políticas de segurança: autenticação multifator precisa agora exigir métodos resistentes a phishing (como FIDO2), e equipes de SOC precisam monitorar não só tráfego, mas também atividade suspeita em canais de comunicação legítimos (Telegram, WhatsApp Business) usados como backchannel por essas redes.