FBI e Google derrubam plataforma chinesa de phishing-as-a-service que roubou quase 4 milhões de cartões

A Outsider Enterprise não era só mais um serviço de phishing barato. Ela usava IA generativa, inclusive o Gemini do Google, para gerar automaticamente sites falsos e mensagens SMS personalizadas em escala industrial. Isso reduziu drasticamente a barreira técnica: criminosos sem conhecimento de programação podiam atacar bancos, operadoras e órgãos públicos com apenas um clique. O preço? US$ 88/semana. Mais de 290 modelos pré-construídos estavam disponíveis, incluindo clones de apps brasileiros como PicPay, Nubank e até da Receita Federal.

O fato de o Google ter entrado com ação judicial sob a Lei RICO é inédito para um caso de PhaaS. A acusação não se limita a infração de marca ou uso indevido de serviços, ela trata a Outsider como uma organização criminosa contínua, com estrutura hierárquica, fluxo de receita e divisão de funções (desenvolvedores, testadores na Shopify, suporte via Telegram). Essa abordagem jurídica muda o jogo: agora, provedores de hospedagem, domínios e até plataformas de pagamentos podem ser responsabilizados por negligência ao facilitar esse tipo de infraestrutura.

Na cobertura CEVIU de ontem (15/06), informamos que a Outsider operava desde julho de 2023. Hoje sabemos que sua evolução foi técnica e operacional: em 2024, ela migrou de kits estáticos para templates dinâmicos alimentados por IA; em 2025, passou a integrar bots no Telegram para vendas automatizadas e suporte 24/7; e em maio de 2026, escalou para envios massivos via SMS com roteamento por gateways brasileiros e latino-americanos, o que explica os 2,5 milhões de mensagens em duas semanas. A diferença entre 'desmantelar' e 'derrubar' ficou clara: ontem falávamos em prejuízo estimado; hoje temos apreensão real de US$ 100 mil em USDT, redirecionamento de 9.000 domínios para página do FBI e uso forense do próprio bot da rede para mapear clientes.

Esse caso mostra que o phishing deixou de ser um ataque pontual e virou um serviço industrializado com SLA, suporte técnico e atualizações semanais, e que usa ferramentas legítimas (Google Cloud, AppSheet, Gemini) como armas. Para empresas brasileiras, o risco não é só receber ataques, mas ter seus nomes e marcas replicados em kits que chegam diretamente no WhatsApp e SMS de clientes. A Operação Riptide também revela uma nova aliança: Lumen Technologies (ex-Neustar) fez a análise de DNS e infraestrutura de domínios, Black Lotus Labs identificou os padrões de obfuscação dos URLs, e o Google forneceu dados de telemetria de Android, provando que defesa eficaz exige colaboração entre setor privado, academia e agências, não só 'soluções isoladas'.