Como o Fraud-as-a-Service está mudando a forma do cibercrime

Tycoon 2FA — atualmente o kit de Phishing-como-Serviço mais prolífico do mercado — é vendido por cerca de US$ 120 por dez dias de acesso no Telegram. EvilProxy custa de US$ 150 a US$ 300 pelo mesmo período, US$ 500 a US$ 600 por mês. Ambos vêm com documentação, canais de suporte ao cliente e atualizações regulares de recursos. Isso não é uma falha de mercado. Essa é a estrutura de um setor B2B de SaaS em pleno funcionamento, exceto que o produto é fraude.

Esse é o modelo de ameaça contra o qual minha equipe e eu nos defendemos todos os dias. O cibercrime não começa mais quando o dinheiro se move; ele começa muito antes, com o roubo industrial, a criação e a transformação de identidades em armas. Uma única identidade comprometida ou sintética, depois que passa por uma verificação, torna-se inventário: ela é repassada por plataformas de fintech, cripto, marketplace e economia de trabalho sob demanda, gerando valor em cada parada. Quanto mais cedo você interceptar a identidade, mais fraude a jusante você impede. Esse é todo o jogo.

Essa é a realidade do Fraud-as-a-Service (FaaS): um setor subterrâneo em rápida expansão em que operadores experientes vendem ferramentas de fraude pré-empacotadas para qualquer pessoa disposta a pagar. Isso democratiza o crime digital. A barreira de entrada praticamente desabou — você não precisa mais de conhecimento técnico para lançar ataques sofisticados em escala. Você precisa de algumas centenas de dólares e de uma conta no Telegram.

Empresas que se defendem contra FaaS não estão mais combatendo tentativas isoladas de fraude. Você está enfrentando operações de fraude industrializada que compartilham infraestrutura, táticas e até equipes de sucesso do cliente. Este artigo explica como o FaaS está remodelando o cenário de ameaças, por que defesas de locatário único falham contra ele e como é uma resposta arquitetonicamente honesta.

A industrialização da fraude

No passado, executar uma operação de roubo de identidade em grande escala exigia conhecimento técnico especializado — como programar, como contornar protocolos de segurança, como manipular a infraestrutura de rede. O FaaS elimina tudo isso. Hoje, as matérias-primas da fraude são insumos de commodities: credenciais comprometidas e tokens de sessão coletados por meio de malware infostealer e kits de phishing adversary-in-the-middle, documentos de identidade fabricados com IA generativa, impressões digitais de dispositivos simuladas por emuladores comerciais. O credential stuffing é um uso desses insumos, não uma fonte — depois que os invasores têm vazamentos de credenciais, ferramentas automatizadas os testam em paralelo em milhares de serviços até que surjam correspondências.

O que o FaaS adiciona a esse fornecimento de commodities é o empacotamento. Kits de phishing, software de geração de deepfake, bases de dados de credenciais roubadas, modelos de identidades sintéticas, tutoriais de bypass bancário — tudo disponível na dark web ou em canais do Telegram por preços que não cobririam uma única hora do tempo de um analista de segurança. Muitos fornecedores de FaaS operam suporte técnico 24/7 e têm canais de sucesso do cliente que se assemelham mais a SaaS empresarial do que ao crime subterrâneo.

A diferença de capacidade entre invasores sofisticados e não sofisticados desabou. The Scattered Spider As prisões ilustram a mesma dinâmica sob outro ângulo: Thalha Jubair, de 19 anos, supostamente envolvido em US$ 115 milhões de extorsão em 47 entidades nos EUA, foi recrutado para um coletivo de cibercrime quando ainda era adolescente — a denúncia do DOJ alega que ele estava ativo desde os 15 ou 16 anos. As habilidades usadas nesses ataques (engenharia social, personificação de help desk, abuso de redefinição de MFA) foram aprendidas, não compradas. Mas a mesma democratização que produziu o FaaS produz a próxima geração de operadores do Scattered Spider: quando o piso de entrada desaba, o perfil demográfico de quem ataca você se amplia. A descentralização geográfica importa tanto quanto a idade — kits de FaaS vendidos em canais do Telegram em inglês estão sendo executados em São Paulo, Lagos, Manila, Jacarta. A ameaça não é um único grupo demográfico; é o nivelamento global da diferença de capacidade.

O ciclo de vida da identidade comprometida

A abordagem tradicional de prevenção à fraude trata cada interação com o cliente como um evento isolado. Uma tentativa de registro é avaliada com base naquela única sessão: documento apresentado, verificação de antecedentes realizada, decisão tomada. Isso funcionava quando a fraude era oportunista. Não funciona quando a fraude é industrial.

Operações de fraude organizadas raramente limitam uma identidade a um único caso de uso. Uma identidade comprometida ou sintética que passa na verificação em uma plataforma torna-se inventário para a próxima. Vemos esse padrão semanalmente: uma identidade sintética que falha em um neobanco brasileiro reaparece três semanas depois em uma corretora de cripto dos EUA e, novamente, em um marketplace europeu com um nome ligeiramente diferente. CrossLinks nos permite reconhecer a segunda e a terceira tentativas como o mesmo esquema de fraude, não três incidentes separados — mas apenas se os clientes estiverem dentro da nossa rede. Fora dela, a mesma identidade ganha uma nova chance a cada porta.

Penso nisso como o ciclo de vida da identidade comprometida: a monetização em etapas de uma única verificação aprovada em vários setores e jurisdições. Capturar a identidade na primeira tentativa malsucedida é o momento de maior impacto em todo o ciclo de fraude. Capturá-la na segunda salva a terceira, a quarta e a quadrigentésima plataforma a jusante.

Em campanhas de múltiplos alvos impulsionadas por FaaS, a avaliação de sessão única não é uma defesa parcial. É um descompasso arquitetônico.

Como as empresas podem responder à ameaça do FaaS

Derrotar a fraude industrializada exige defesa industrializada. A resposta precisa operar na mesma escala do ataque, compartilhar sinais na mesma velocidade e integrar os mesmos tipos de insumos. A seguir estão as três camadas que realmente fazem diferença.

Inteligência em escala de rede: a única resposta que corresponde à escala do FaaS

A resposta arquitetônica mais eficaz ao FaaS é a defesa coletiva. Uma técnica de spoofing usada contra uma fintech europeia pela manhã deve ser detectável em um marketplace norte-americano à tarde. Esse é o princípio da Fraud Intelligence Network da Veriff e do CrossLinks: quando detectamos um ataque coordenado contra um cliente, os sinais — dispositivos compartilhados, padrões de rede, métodos de adulteração de documentos, embeddings biométricos — são propagados por toda a nossa base de clientes em tempo quase real.

É aqui que a arquitetura do fornecedor importa na prática. A maioria dos provedores de verificação de identidade remenda soluções fragmentadas, dependendo de APIs de terceiros e de processadores de dados externos. Essa fragmentação cria pontos cegos e dilui a responsabilização — quando uma fraude organizada passa despercebida, torna-se difícil determinar onde a falha ocorreu ou aplicar os aprendizados adiante. A Veriff desenvolve e possui toda a sua pilha de verificação internamente, ponta a ponta, da captura à decisão. Essa propriedade é o que permite que o compartilhamento de sinais entre clientes funcione de forma coerente: quando cada verificação no pipeline é nossa, cada sinal alimenta a mesma rede.

Uma pergunta prática que vale a pena fazer a qualquer fornecedor de IDV: se uma tentativa de fraude passar despercebida na terça-feira no cliente A, você consegue me dizer na quarta-feira se a mesma impressão digital de dispositivo, modelo de documento ou assinatura biométrica apareceu em qualquer um dos seus outros clientes? Se a resposta for não, a cegueira de locatário único está incorporada na arquitetura.

Verificação biométrica e de documentos em camadas

Digitalizações de documento único não são mais suficientes. Modelos de documentos sintéticos vendidos via FaaS passam rotineiramente em inspeções visuais básicas. O novo padrão de defesa é uma verificação em múltiplas camadas que analisa milhares de pontos de dados em tempo real: autenticidade do documento, reconhecimento facial biométrico, detecção de vitalidade e coerência de sinais ao longo da sessão. Nos bastidores, o Veriff Fraud Intelligence analisa sinais de dispositivo, rede e comportamento no momento da verificação — marcação de IPs de datacenter e de proxy, coerência de atributos de dispositivo, atestação de hardware, padrões de tempo — e devolve as conclusões ao cliente em tempo real.

O problema mais difícil não é capturar qualquer tentativa individual de fraude; é capturar a campanha. Uma tentativa com proxy residencial na frente contra um cliente pode parecer um falso positivo ruidoso em isolamento. A mesma impressão digital de dispositivo aparecendo em três clientes de dois setores em 48 horas é inequívoca. O CrossLinks transforma esse padrão de invisível em óbvio.

Agende uma demonstração

Sua comunidade merece uma plataforma construída sobre confiança.

Converse com um de nossos especialistas.

Agende uma demonstração

Detecção de fraude baseada em IA: onde os benchmarks encontram a realidade

O avanço da IA generativa deu aos invasores a capacidade de produzir em massa identidades sintéticas hiper-realistas e tentativas biométricas baseadas em deepfake a custo marginal. A resposta defensiva não pode depender apenas da detecção — ela precisa evoluir no mesmo ritmo dos ataques.

Em janeiro de 2026, a Veriff publicou os resultados de benchmarks independentes contra o IDNet, um conjunto de dados patrocinado pelo DHS com mais de 837.000 imagens de documentos de identidade cobrindo morphing de rosto, trocas de retrato, substituição de campos de texto e outras técnicas de fraude sintética. Em uma amostra representativa de quase 30.000 documentos, a tecnologia da Veriff sinalizou 100% dos documentos sintéticos como fraudulentos — com taxa de automação de 99,5%, o que significa que as detecções ocorreram sem intervenção de revisão manual. A métrica combinada é a que importa: 100% de detecção com revisão manual total é inviável em produção; 99,5% de automação com 100% de detecção é operacional.

O que esse benchmark comprova é que a geração atual de ataques com documentos sintéticos é solucionável. O que ele não comprova é que a próxima geração será. A fabricação de documentos com uso de IA está amadurecendo a uma taxa exponencial. A vantagem defensiva — para nós e para o setor — vem da ingestão contínua de novos padrões de fraude oriundos de tráfego de ataques em produção, não de um único número de acurácia em um ponto no tempo. A transição que estamos tentando acompanhar é de sintéticos “detectáveis” para “hiper-realistas”, e a única defesa sustentável é a escala de dados combinada com a propriedade arquitetônica do pipeline de modelos.

A camada regulatória

A verificação de identidade deixou de ser um item de checklist de onboarding; na UE ela é tratada cada vez mais como parte da infraestrutura regulada de confiança digital. Três frameworks estão convergindo para o mesmo modelo de ameaça que impulsiona o FaaS:

• AMLR e AMLA. O Regulamento de Prevenção à Lavagem de Dinheiro da UE e a nova Autoridade de PLD harmonizam requisitos de due diligence de clientes que antes variavam entre as transposições da AMLD5/6 pelos Estados-membros. A AMLR introduz expectativas específicas sobre o uso de meios eletrônicos de identificação e sobre a reverificação em eventos de gatilho — tornando o quando da reverificação uma questão de compliance, e não apenas de prevenção à fraude.
• eIDAS 2.0 e a Carteira EUDI. À medida que carteiras de identidade digital de alta garantia são implementadas pelos Estados-membros ao longo de 2026 e 2027, o piso do que conta como garantia de identidade aceitável está subindo. Identidades sintéticas em nível de FaaS enfrentarão uma barreira muito mais alta quando a verificação vinculada à carteira se tornar o padrão para serviços regulados.
• DORA. Para serviços financeiros na UE, o Regulamento de Resiliência Operacional Digital trata os provedores de verificação de identidade como parte do perímetro de risco de terceiros de TIC. Gatilhos de reverificação, fluxos de contingência e resposta a incidentes de fraude agora são passíveis de supervisão, não apenas operacionalmente importantes.

Equipes de fraude que tratam compliance e defesa contra fraude como fluxos de trabalho separados terão dificuldades à medida que esses frameworks convergirem. As equipes que construírem uma única política de reverificação e de garantia de identidade que atenda a ambos serão mais rápidas, mais baratas e mais defensáveis perante os reguladores.

Para onde vai a fraude impulsionada por FaaS

Algumas previsões que valem ser confrontadas com os próximos 12 a 18 meses.

FaaS e ferramentas de IA convergem em uma única pilha de ataque. Hoje, um invasor compra um kit de phishing, um gerador de documentos sintéticos e um vazamento de credenciais como produtos separados. Em um ano, espere ver toolkits de “abertura de conta como serviço” de ponta a ponta que reúnem geração de identidades sintéticas, fabricação de documentos, replay biométrico com deepfake e tutoriais de bypass específicos da plataforma-alvo em uma única assinatura. O preço continuará caindo.

Dados com efeito de rede se tornam o fosso competitivo definidor dos fornecedores. Fingerprinting de dispositivo de locatário único, análise comportamental e detecção de deepfake estão convergindo em capacidade entre os fornecedores de IDV. O que não converge é a visibilidade entre clientes. Os fornecedores com essa visibilidade — e os clientes que a exigirem — definirão a próxima fase da defesa contra fraude. O restante estará vendendo soluções pontuais marginalmente melhores para um problema que já ultrapassou a sua arquitetura.

Os reguladores alcançam mais rápido do que o setor espera. eIDAS 2.0, AMLR/AMLA, DORA e a eliminação gradual de SMS-OTP já em andamento nos Emirados Árabes Unidos, Índia e Filipinas estão todos apontando para a mesma conclusão: a verificação de identidade agora faz parte da infraestrutura regulada de confiança digital. Os próximos dois anos favorecerão fornecedores e clientes que tratam compliance e fraude como um único problema, não dois.

A frase com a qual eu deixaria você, porque é assim que penso neste trabalho no dia a dia: a fraude agora é um negócio de SaaS, e os clientes que a compram não são quem você imagina. Defender-se contra ela exige enfrentá-la nos mesmos termos — em escala, com sinais compartilhados e com propriedade arquitetônica de cada camada entre a câmera e a decisão. Os esquemas de fraude já têm uma rede. Você também deveria ter.