Contra-Atacando Golpistas: Investigação Ativa, Dados Vazados e Deepfake na Prática

O que você vai aprender neste aulão

Como se proteger de golpes na internet e, mais importante, como contra-atacar golpistas usando técnicas de investigação ativa e OSINT. Neste aulão ao vivo, eu demonstrei na prática como o mercado clandestino digital funciona — de dados vazados a contas laranja, de clonagem de voz com IA a fraudes de cartão de crédito.

Mas não parei na defesa. Junto com dois convidados especialistas — Antonio, líder de produto da HI SPY e investigador de quadrilhas de phishing, e Diego, especialista em redes e telecom — eu mostrei como usar as mesmas técnicas dos golpistas contra eles. Você vai entender o fluxo completo de um golpe digital, aprender a se defender de ligações e mensagens fraudulentas, e descobrir como investigar e identificar criminosos usando ferramentas acessíveis. Tudo demonstrado ao vivo, com casos reais e telas compartilhadas.

Por que seus dados já estão nas mãos dos golpistas

Todos os seus dados pessoais estão expostos na internet neste exato momento. CPF, nome completo, familiares, endereços, telefones, créditos, vizinhos, convênio médico, faixa salarial — tudo vazado e disponível por centavos em canais do Telegram.

Eu mostrei na tela durante o aulão: canais vendendo consultas de CPF por R$0,10, bases de dados do Serasa completas, bancos de dados do SUS, combinações de e-mail e senha. E não estou falando de hackers sofisticados. O golpista mais simples, dentro de uma cela de presídio, com um smartphone Android, tem acesso a um painel que consulta absolutamente tudo sobre você.

"O golpista, sendo sincero, mais chinelo que tiver, o mais simples de todos, ele já tem todos os seus dados, todos os seus dados, ele tem no teclado, no smartphone Android dele, dentro da cela do presídio."

O Serasa foi vazado. Bases de governo foram vazadas. Empresas de investimento foram vazadas. Dados do SUS, vacinas, tudo circula abertamente. E a LGPD? Existe, funciona em parte, mas o que já vazou continua circulando nas mãos de criminosos. Nenhuma multa vai desfazer um vazamento.

Esse é o ponto que muita gente não entende: quando alguém te liga e sabe seu nome, CPF, endereço e nome da sua mãe, isso não significa que é do banco. Significa que os dados estão públicos. E O Brasil lidera em golpes digitais — porque também lidera em vazamentos de dados. O golpista não precisa te conhecer. E Não precisa ser sofisticado. Ele só precisa de R$0,15 e acesso ao Telegram.

Se você quer entender como esses vazamentos funcionam na prática, eu já cobri isso em profundidade no Aulão #9 — Investigar Vazamentos de Senhas.

Como golpistas clonam vozes com inteligência artificial

Clonar uma voz humana custa $10 e leva menos de 15 minutos. Com a ElevenLabs, qualquer pessoa cria uma réplica quase perfeita de qualquer voz usando poucos minutos de áudio — que podem vir dos seus stories do Instagram, de um vídeo no YouTube ou de uma ligação gravada.

Eu demonstrei isso ao vivo no aulão. Abri a plataforma, configurei parâmetros de estabilidade, clareza e velocidade, e gerei uma voz sintética falando "Olá, Diego Santos, sou atendente do Nubank, seu CPF 855-222-222 está sob análise de risco." E quando você tem uma lista de 50 nomes, esse texto vira uma variável que o código altera automaticamente. Produção em massa de golpes por voz.

O Antonio foi além: ele clonou a própria voz e mandou um áudio de cativeiro para a mãe dele. A voz era indistinguível da real. Nem como dizer que não era ele falando.

"Criar uma voz hoje em massa para uma lista de 50 pessoas custa aqui, sério, $10."

Mas não para na voz. O HeyGen popularizou deepfake de vídeo e foi criticado por tornar fraudes mais acessíveis. Implementou verificação de identidade. Mas a tecnologia subjacente é open source — qualquer pessoa com um computador pode rodar localmente. É como tentar impedir que pessoas programem sites. Não funciona.

Diego lembrou do caso do Face ID do iPhone: alguém criou uma máscara 3D com profundidade e desbloqueou o aparelho. No deepfake de vídeo, a sofisticação para burlar sistemas só cresce. Diminui a quantidade de pessoas que conseguem, mas quem quer fazer, faz.

O ponto que eu quero que você grave: se alguém ligar com a voz do seu filho, da sua mãe, do seu chefe, não significa que é a pessoa. Pode ser uma IA. E o custo para criar isso é ridiculamente baixo.

O que são contas laranja e como funcionam os golpes de Pix

O dinheiro roubado num golpe de Pix não vai para a conta pessoal do golpista. Vai para uma conta laranja — aberta no nome de outra pessoa, muitas vezes sem essa pessoa saber.

Mostrei ao vivo como isso funciona: bancos digitais e fintechs querem liberar a criação de conta com menos de um clique. É o modelo de negócio deles para crescer. Só que essa facilidade é explorada. Aplicativos Android modificados burlam o KYC (a verificação facial) substituindo a câmera por upload de arquivo. Ou seja, o golpista pega seus dados vazados, usa um template de RG editável no Corel Draw (sim, encontrei templates durante a live), e cria uma conta bancária no seu nome.

"Vocês não tem ideia a quantidade de aplicativo Android falsificado que trava a câmera e libera o anexo do arquivo."

Nos canais do Telegram que eu mostrei, contas prontas são vendidas abertamente: Santander por R$300, PicPay, AstroPay, Stone, InfinityPay. Até bancos que eu nunca tinha ouvido falar tinham contas à venda. E não é uma operação artesanal — é produção em massa.

Tem mais. E Olha um caso que me chamou atenção: uma influencer teve o Instagram hackeado. Os criminosos usaram o perfil dela para anunciar um iPhone à venda e pedir pagamento via Pix. Mas o detalhe sinistro: a conta laranja tinha o mesmo nome da influencer. Os golpistas criaram a conta especificamente para que o nome no Pix parecesse legítimo.

Você deveria dar graças a Deus que ainda não abriram uma conta no seu nome. Porque os dados para fazer isso já estão disponíveis. Se você quer aprender como identificar esses perfis falsos usados em golpes, o Aulão #3 — Desvendando um Golpe Real mostra o processo completo.

Como funciona o mercado clandestino de cartões e dados roubados

Quando o golpista recebe o Pix na conta laranja, ele não saca o dinheiro no caixa eletrônico. Seria pego. O fluxo é mais sofisticado: o valor da conta laranja vai para um cartão pré-pago. Esse cartão é revendido em canais do Telegram para alguém que vai usar para compras online. Essa pessoa compra um produto na Magazine Luiza ou no Mercado Livre, e o produto é entregue em outro endereço.

Eu naveguei nesses canais durante o aulão e mostrei os preços. Um cartão Gold com saldo? R$60. Aprovação Mercado Pago? À venda com frete. CC normal para compras online? Centavos. O mercado gira em velocidade absurda.

"O cara que aplicou o golpe chegou na Laranja, que foi para um cartão, o cartão vai ser revendido no mercado de cartões."

Fraude de cartão de crédito no Brasil acontece 80% das vezes após as 22 horas. A lógica é simples: pessoa dormindo, notificações não funcionam como barreira imediata. O alerta do banco chega, mas o dono do cartão só vai ver de manhã — e aí as compras já foram feitas.

Só 8% dos crimes no Brasil são investigados. Oito por cento. Isso inclui assassinatos. Agora imagina um Pix de R$1.000. O custo da investigação supera o valor roubado na maioria dos casos. É por isso que o mercado cresce: a impunidade retroalimenta o sistema.

Antonio trouxe um ponto que vale repetir: os criminosos são pegos na recorrência. Uma vez ou duas, dificilmente. Mas como o processo dá dinheiro, eles repetem. É na repetição que cometem erros. E é aí que a investigação funciona.

Eu já demonstrei técnicas avançadas de investigação de emails fraudulentos no Aulão #16 — Desmascarando E-mails Fraudulentos, que complementa muito esse tema.

Como se defender de ligações e mensagens fraudulentas

Ninguém que te liga é o banco. Ninguém. Essa é a regra número 1. Mas tem mais.

Se alguém ligar dizendo ser do Nubank, do Banco do Brasil, do Itaú, não confirme nenhum dado. A pessoa ligou? Ela que fale. Você só escuta. "Continua falando, continua informando o que você tem para informar. Assim que você terminar, eu vou te falar se é ou não."

A técnica que eu recomendo: peça para a pessoa informar as 10 últimas transações do seu extrato, com centavos. Se ela souber tudo com vírgula e centavos, ou é do banco de verdade, ou invadiu sua conta — e em ambos os casos você precisa agir. Mas 99% dos golpistas não tem essa informação.

Diego deu uma dica prática para Android: ative a gravação automática de todas as ligações. Você precisa de evidência. Se alguém ligar e tentar te enganar, a gravação é prova para o boletim de ocorrência.

Sobre cartões, a proteção que eu uso pessoalmente no Nubank: crio um cartão virtual para cada serviço. Netflix tem um cartão. Spotify tem outro. Acabou de usar para uma compra única? Bloqueio imediato. Se um cartão vaza, o dano é limitado àquele serviço com limite baixo. Diego faz igual — mantém limites baixos por cartão. E Não para por aí.

E tem o spoofing de telefone. Algumas operadoras não bloqueiam essa técnica, e o golpista consegue fazer a ligação aparecer com o número real do banco ou até de um familiar seu. O número que aparece no visor não garante nada.

Não confie no número. Não confie na voz. Não confirme dados. Prefira atendimento pelo chat do aplicativo ou por e-mail — onde você pode verificar o remetente.

As técnicas de engenharia social por trás desses golpes são as mesmas que eu aprofundei no Aulão #21 — Engenharia Social Aplicada em Investigações.

Investigação ativa: como contra-atacar golpistas com OSINT

A interação entre golpista e vítima é mútua. Ele tem um telefone, um computador, uma conexão, uma voz, uma foto, um nome e um Pix. Tudo que ele pode descobrir sobre você, você pode descobrir sobre ele. E a maioria dos golpistas não está preparada para ser investigada.

"O cara não espera que ele vai ser o enganado. A ideia dele, imagina aí que ele faz 10 golpes no dia e 5 é com sucesso. Mas ninguém ali daqueles tentou dar um golpe nele."

Antonio explicou o conceito de investigação ativa: em vez de esperar a polícia resolver (lembra dos 8%?), você interage com o golpista de forma controlada para coletar dados que identifiquem quem ele é. Usando socket puppet (perfil falso protegido), engenharia social e links rastreáveis, você captura IP, geolocalização, dados de dispositivo e até foto da webcam.

Importante: você não investiga com sua conta real. Nunca. Usa um socket puppet — um perfil falso criado especificamente para a investigação, com foto gerada por IA no This Person Does Not Exist e dados fictícios. A proteção operacional (OPSEC) é tão importante quanto a técnica. Eu já cobri os fundamentos de OSINT no Aulão #1 — Segredos para Dominar OSINT e técnicas avançadas de investigação no Aulão #5 — Técnicas para Investigar Pessoas na Internet.

O roadmap que o Antonio compartilhou para investigação ativa segue esses passos: preparar socket puppet, analisar o alvo, gerar interesse, enviar link rastreável, aguardar clique, coletar dados, documentar tudo. E cada investigação é diferente — a forma que você investiga no WhatsApp não é a mesma do Instagram, que não é a mesma do Telegram ou do marketplace.

Operação Coelho: caso real de investigação de golpista

Esse foi um dos momentos mais legais do aulão. Antonio apresentou a Operação Coelho — uma investigação real feita em tempo real, gravada, com a participação do aluno Bruno Moura.

O caso: um perfil anônimo no Instagram publicava fake news sobre moradores da cidade de Coelho Neto. Dizia que pessoas estavam traindo, inventava histórias, espalhava boatos. Quando a vítima descobria e pedia para remover, o golpista cobrava R$200 a R$300 para tirar a informação do ar. Extorsão digital pura.

A investigação começou com sondagem. Antonio criou um socket puppet e mandou mensagem: "Tenho uma investigação em sigilo. Sobre o vereador que eu quero jogar na mídia. Você pode me ajudar com essa divulgação?" O gatilho mental usado foi curiosidade. Um vereador? Imagina o quanto esse cara poderia extorquir.

O golpista respondeu: "Tenho interesse."

Mas tinha um problema. O link rastreável foi enviado junto com a primeira mensagem, e o cara não clicou. Então Antonio refiniu a abordagem: "Vou mastigar tudo para você, deixar bonitinho só para você começar a divulgar e espalhar à vontade." E usou a técnica de pré-visualização — aquele preview que aparece quando você manda um link no Instagram ou WhatsApp. Na segunda tentativa, o golpista não clicou uma vez. Clicou três.

Com os dados capturados pelo HI SPY, a equipe conseguiu foto, IP, dispositivo e localização do golpista. O caso foi exposto na mídia depois. A cidade é Coelho Neto — daí o nome da operação.

"Essa parte de investigação ativa é muito legal porque você geralmente é deixar o cara com sede."

A lição aqui é clara. E Boa: golpistas estão acostumados a enganar, não a serem enganados. Quando você vira o jogo com técnica, eles são tão vulneráveis quanto qualquer outra pessoa.

Como rastrear dispositivos roubados pela rede Wi-Fi

Diego apresentou um caso fascinante de rastreamento de roteadores Nokia roubados. A técnica usada é simples no conceito, mas brilhante na execução.

Em um grupo de provedores de internet no Telegram, roteadores roubados estavam sendo vendidos. Diego entrou em contato com o vendedor usando a pergunta mais natural do mundo naquele contexto: "O Wi-Fi funciona? Me manda uma foto." Em grupos de provedores, é absolutamente normal pedir para ver a intensidade do sinal. Ninguém desconfia.

E quando o vendedor mandou a foto com o Wi-Fi funcionando, ela mostrava as redes ao redor: Vivo Fibra 24, Info Du 1533, Nokia Wi-Fi Prado. Com esses 3 nomes de rede, Diego conseguiu a localização exata do dispositivo usando um software chamado Eagle. O vendedor estava em Diadema.

Mas não parou aí. Diego confirmou o fabricante do roteador pelo endereço MAC usando o MAC Vendors — o chip era de um Shenzhen Gongya, fornecedor da Nokia. Bateu com a nota fiscal dos roteadores roubados. E usando o Sherlock no Parrot OS, encontrou a conta do vendedor no Mercado Livre. Todos os dados pessoais.

"O cara manda uma foto do Wi-Fi, a gente consegue mapear a rede. Na hora que ele manda a foto funcionando o Wi-Fi."

Uma foto inocente do Wi-Fi funcionando entregou redes vizinhas, MAC address, localização e identidade. O investigador só precisou fazer a pergunta certa. Para quem quer aprender mais sobre ferramentas de investigação digital, indico o Aulão #22 — Ferramentas de IA para Investigação Digital.

Sites do governo hackeados para promover cassinos online

Eu quase não dormi na noite antes desse aulão. Estava investigando algo que me deixou revoltado: dezenas de sites institucionais brasileiros — governo de Minas Gerais, prefeitura de Campo Bom, Unimed, site do estado da Bahia — hackeados para redirecionar visitantes ao site de apostas KTO.

Publiquei um Reels no Instagram naquele dia e o engajamento explodiu. Muita gente já tinha visto o mesmo fenômeno em sites das suas cidades.

O que chamou minha atenção foi um detalhe técnico: todos os links de redirecionamento tinham o mesmo parâmetro na URL — um invite code. Esse código identifica o afiliado que divulga o cassino e recebe comissão quando alguém se cadastra ou deposita.

Comecei a mapear. Busquei por esse invite code em URLs na internet. Encontrei dezenas de sites hackeados com o mesmo código. Depois encontrei perfis no TikTok, Instagram e Twitter divulgando o mesmo invite code. Tudo ligado ao mesmo afiliado.

E o KTO e o Betano tem KYC. Sabem quem é o cliente que recebe as comissões. Fazem pagamento em Pix no Brasil. Então com o invite code mapeado, uma investigação criminal pode solicitar quebra de sigilo e chegar ao responsável. Eu compilei tudo e reportei — derrubei dezenas de links nos sites institucionais.

"Comecei a encontrar vários sites que tinham Invite Code e o código se repetindo."

A lição: parâmetros de URL como invite codes são rastreáveis. Criminosos deixam pegadas digitais em tudo que fazem. O mundo digital tem mais evidências que o mundo físico — a gente só precisa saber onde procurar.

Ferramentas de segurança física contra rastreamento e SimSwap

Diego mostrou dois equipamentos que usa no dia a dia para proteção física.

Primeiro, a YubiKey — uma chave de segurança física para autenticação de dois fatores. Em vez de receber código por SMS (que pode ser interceptado via SimSwap), os códigos ficam armazenados no dispositivo físico. Conecta por USB ou NFC. Sem a chave física, ninguém acessa suas contas, mesmo com sua senha.

Por que isso importa? SimSwap. Se um funcionário corrupto dentro da operadora transferir seu número para outro chip (e isso acontece — mais de 10 milhões de vítimas no Brasil), o golpista recebe todos os seus códigos de verificação por SMS. Diego foi direto: "SimSwap, se for dentro da operadora, esquece. Não tem o que fazer." Seu celular perde sinal, o outro chip recebe seus códigos, e pronto.

Segundo, a Faraday Bag. Diego demonstrou ao vivo: colocou o telefone dentro, fechou, e o aparelho perdeu todo sinal instantaneamente. Radiofrequência, Wi-Fi, Bluetooth, GSM — tudo morto. Irrastreável. Se alguém ligar, cai na caixa postal. É o mesmo material usado em tendas de rádio militar.

"Tudo que eu fizer isso aqui e fechar, tudo que tá aqui dentro morre. Qualquer tipo de sinal de antena, cara, o ar, qualquer coisa."

E se você não tem uma Faraday Bag? Diego deu uma alternativa caseira: papel alumínio grosso (depende da espessura) ou até um micro-ondas funcionam como bloqueadores improvisados. Não é ideal, mas funciona em emergência.

Vocabulário de fraude: documento interno de quadrilha compartilhado

No final do aulão, compartilhei com o público um documento interno de uma quadrilha de fraude — a chamada "Sociedade Anônima". É um material de treinamento que eles criaram para novos membros, com todo o vocabulário técnico usado no mercado clandestino.

CARDER, CCINFO, CHECKER, GG, BIM, BIM baixa, BIM alta, CC Fuzil, DAI, consultável, mix, aprovação, esquema, drop, DB, banner. Cada termo tem significado específico no ecossistema de fraude. O documento explica a estrutura do cartão, quais países não exigem CCV, quais sites aceitam frete para endereço diferente do cadastro, e até o modus operandi de limpeza de rastros — incluindo software de varredura de vestígios.

Entender esse vocabulário não é para cometer fraude. É para investigar. Quando você infiltra um grupo, monitora um canal, ou analisa uma conversa capturada, precisa saber o que significam os termos. Policiais, delegados, advogados, peritos — todos precisam desse conhecimento para atuar com eficácia no cenário atual de crimes digitais.

Ferramentas Utilizadas Neste Aulão

Ferramenta	Finalidade	Link
ElevenLabs	Clonagem e síntese de voz com IA	ElevenLabs
HeyGen	Criação de deepfake em vídeo com IA	HeyGen
HI SPY	Investigação ativa com links rastreáveis	HI SPY
Sherlock	Busca de perfis de usuário em 400+ redes sociais	Sherlock
Parrot OS	Sistema operacional para segurança e forense digital	Parrot OS
MAC Vendors	Identificação de fabricante por endereço MAC	MAC Vendors
YubiKey	Chave física de autenticação dois fatores (FIDO2/U2F)	YubiKey
This Person Does Not Exist	Geração de fotos fictícias por IA para socket puppets	This Person Does Not Exist
Kali Linux	Distribuição Linux para testes de segurança	Kali Linux
Flipper Zero	Dispositivo multifuncional para testes de segurança RF/NFC	Flipper Zero

Perguntas Frequentes

Como os golpistas conseguem meus dados pessoais?

Seus dados foram vazados em megabrechas de empresas como Serasa, bancos de dados de governo, operadoras e fintechs. Esses dados são comercializados em canais do Telegram por centavos — consultas de CPF por R$0,10, bases completas por reais. O golpista não precisa te hackear. Ele só compra seus dados prontos.

O que é uma conta laranja e como funciona?

Conta laranja é uma conta bancária aberta com dados de outra pessoa, sem o conhecimento dela. Criminosos usam apps Android modificados que burlam a verificação facial dos bancos digitais, combinados com documentos falsificados. Essas contas são vendidas prontas em canais do Telegram — uma conta Santander custa R$300. O dinheiro de golpes é transferido para essas contas antes de ser lavado.

É possível rastrear um Pix para conta laranja?

Tecnicamente sim, mas na prática depende do valor e dos recursos disponíveis. O Pix vai para uma conta laranja, que transfere para um cartão pré-pago, que é revendido para outro criminoso. O rastreamento é possível, mas o custo da investigação frequentemente supera o valor roubado. Apenas 8% dos crimes no Brasil são investigados.

Como saber se uma ligação é do banco ou golpe?

Nunca confirme dados numa ligação. Peça para a pessoa informar as 10 últimas transações do seu extrato com centavos. Se não souber, é golpe. Prefira atendimento pelo chat do app ou e-mail. Lembre-se que golpistas podem falsificar o número que aparece no visor (spoofing) e até clonar vozes com IA.

O que é investigação ativa contra golpistas?

Investigação ativa é quando você interage diretamente com o golpista de forma controlada para coletar dados que o identifiquem. Usando um perfil falso (socket puppet), engenharia social e links rastreáveis, você pode capturar IP, geolocalização, dados de dispositivo e até foto da webcam do criminoso. Ferramentas como o HI SPY tornam esse processo acessível para qualquer pessoa.

Como me proteger de SimSwap?

Use chaves de segurança físicas como a YubiKey em vez de SMS para autenticação de dois fatores. Se um funcionário corrupto da operadora transferir seu número, você perde todos os códigos por SMS — mas a chave física permanece segura. Mais de 10 milhões de brasileiros já foram vítimas de SimSwap.

Deepfake de voz e vídeo pode ser bloqueado?

Não. A tecnologia é open source e qualquer pessoa com computador pode rodar localmente. Plataformas como ElevenLabs implementam verificações, mas a tecnologia base não depende delas. A defesa não é impedir a criação de deepfakes — é saber detectar, não acreditar automaticamente e investigar quando necessário.

Qual a melhor forma de proteger meu cartão de crédito?

Crie cartões virtuais separados para cada serviço no seu banco digital. Acabou de usar? Bloqueie. Mantenha limites baixos. Bloqueie cartões virtuais antes de dormir — 80% das fraudes de cartão acontecem após as 22 horas. Se um cartão vazar, o dano fica limitado àquele serviço.

Veja também: Primeiro Aulão Presencial no Brasil: Bug Bounty, Flipper Zero e os Bastidores da Equipe — Aulão #30

Referências e Recursos

• ElevenLabs — Plataforma de clonagem de voz com IA
• HeyGen — Criação de deepfake em vídeo
• HI SPY — Ferramenta de investigação ativa
• Sherlock Project — Busca de usernames em 400+ redes sociais
• Parrot Security OS — Distribuição para segurança e forense
• MAC Vendors — Lookup de fabricante por MAC address
• Yubico — Chaves de segurança YubiKey
• This Person Does Not Exist — Fotos fictícias por IA
• Kali Linux — Distribuição para testes de segurança
• Flipper Zero — Dispositivo multifuncional de segurança
• O que é SIM Swap e como se proteger — Tecnoblog