De senhas roubadas a deepfakes de IA: por dentro do mundo da fraude digital

Como é realmente a fraude moderna? Não a versão de Hollywood – não um gênio solitário de moletom com capuz – mas as operações reais, industrializadas e cada vez mais movidas por IA com as quais especialistas em verificação de identidade lidam todos os dias?

No primeiro episódio da série Veriff Voices Deepfakes, a apresentadora Anisah Osman Britton conversa com duas pessoas de dentro da Veriff para descobrir: Ira Bondar-Mucci, Fraud Platform Lead, e Geo Jolly, Lead Product Manager. Juntos, eles mapeiam o cenário da fraude, desde suas formas mais básicas até a fronteira dos deepfakes, e o que qualquer um de nós pode fazer a respeito.

Produzido por Any Other Business

Fraude 101: é sobre fingir ser outra pessoa

Ira começa com uma definição aparentemente simples: fraude é alguém fingindo ser outra pessoa para acessar algo que não deveria. Mas essa simplicidade esconde uma complexidade que cresce rapidamente. Hoje, o espectro de fraude vai do oportunismo desajeitado ao empreendimento criminoso sofisticado e, cada vez mais, tudo isso é turbinado por IA.

A equipe divide a fraude em quatro tipos amplos:

Fraude oportunista, de baixo esforço explora brechas em processos em vez de usar ferramentas sofisticadas. Uma senha fraca, um funcionário distraído, um sistema que aceita um documento impresso quando não deveria – esses são os pontos de entrada. Não é preciso um plano maligno elaborado; os fraudadores simplesmente encontram a porta destrancada e passam por ela.

A fraude organizada é uma fera completamente diferente. Ira descreve operações que se parecem, de forma incômoda, com empresas: fazendas de dispositivos – salas cheias de celulares executando verificações em paralelo – compras em massa de identidades roubadas na dark web, rotação de VPN para disfarçar a origem das sessões e falsificação de dispositivos para escapar do rastreamento. “Há uma intenção de burlar, e burlar em escala”, diz ela.

A fraude amigável abrange casos em que a pessoa que comete a fraude não percebe totalmente que está fazendo algo errado. É um caso de fronteira, mas real.

A fraude movida por IA atravessa todas as três categorias e é, de longe, a preocupação que mais cresce: deepfakes, identidades sintéticas e ataques de injeção que conseguem enganar tanto sistemas quanto olhos humanos.

A dark web: o back-office da fraude

Para a maior parte das pessoas, a dark web é um conceito vago de um filme de suspense. Geo desmistifica isso de forma simples: pense nela como o lado não rastreável da internet, em que a falta de visibilidade por parte das autoridades cria um ambiente permissivo para atividades ilegais. Documentos de identidade roubados, passaportes falsificados e dados pessoais de vazamentos são negociados ali: pagos com ferramentas de pagamento não rastreáveis, não com o sistema bancário convencional.

Mas ela não é apenas um marketplace. A dark web – e, cada vez mais, plataformas de superfície como Telegram, TikTok, Discord e Reddit – tornou-se um sistema de educação para fraudadores. Ira apresenta o conceito de fraude como serviço: kits de ferramentas de fraude prontos para uso vendidos por assinatura, com modelos predefinidos de documentos falsos, softwares de mascaramento de deepfake em tempo real e guias passo a passo para burlar sistemas específicos de verificação de identidade. Alguns até oferecem suporte ao vivo via Telegram.

“A barreira e a habilidade técnica necessárias para esses ataques ficaram menores”, diz Ira. “A fraude como serviço está democratizando a fraude, o que permite que ela escale em um ritmo incrivelmente rápido. É um constante jogo de gato e rato.”

Apps de namoro: onde a fraude fica pessoal

De todos os setores afetados pela fraude de identidade, os apps de namoro apresentam as apostas humanas mais imediatas. Historicamente, explica Ira, a barra de verificação nessas plataformas sempre foi muito baixa – uma foto e um endereço de e-mail – principalmente porque atrito no onboarding afasta usuários. O resultado: um setor que investiu pouco em verificação justamente quando mais precisava dela.

As consequências são profundamente pessoais. Catfishing não é só sobre uma foto de perfil falsa. Envolve construir confiança ao longo de semanas ou meses e depois explorá-la por dinheiro, por dados pessoais ou pior. E agora a IA removeu a última barreira: a videochamada. Antes, fraudadores não podiam mostrar o rosto sem se expor; ferramentas de mascaramento de deepfake em tempo real agora permitem que eles personifiquem qualquer pessoa de forma convincente na câmera. O caso de alto perfil de uma mulher alvo de um golpista que se fazia passar por Brad Pitt, com direito a internações hospitalares fabricadas e pedidos de dinheiro, tornou-se um dos exemplos mais discutidos dessa nova realidade.

Geo acrescenta uma dimensão extra: nem toda distorção da própria imagem em apps de namoro tem intenção criminosa. A insegurança leva algumas pessoas a apresentar uma versão de si que não é totalmente real, e essa área cinzenta – entre vulnerabilidade pessoal e exploração deliberada – é parte do que torna o problema tão complexo. A verificação de idade é outra fronteira ativa, principalmente quando se trata de impedir que usuários mais jovens acessem plataformas às quais não deveriam ter acesso.

A boa notícia, concordam os dois convidados, é que a indústria de aplicativos de namoro está mudando. As plataformas estão começando a tratar a verificação de identidade não como uma mera formalidade de compliance, mas como um verdadeiro recurso de segurança, fazendo parceria com provedores como a Veriff para verificar se as fotos de perfil são rostos reais, e não deepfakes.

Deepfakes: o desafio que é diferente

A parte de Geo sobre deepfakes é, talvez, a parte mais perturbadora da conversa – e propositalmente. O que torna os deepfakes exclusivamente ameaçadores, ele argumenta, não é apenas o fato de serem convincentes. É que eles desafiam a percepção sensorial humana de uma forma como nenhum outro tipo de fraude já fez.

Três mudanças definem o momento atual:

1. O custo de entrada despencou. Criar um deepfake que há cinco ou seis anos exigiria ferramentas especializadas e caras hoje pode ser iniciado com uma simples conversa com um modelo de IA disponível publicamente. Custo mais baixo significa maior volume.
2. Figuras públicas são as mais expostas. Quanto mais dados existem sobre uma pessoa – ângulos diferentes, iluminações diferentes, contextos diferentes – mais fácil fica treinar um modelo convincente dela. Políticos, celebridades e qualquer pessoa com uma presença pública significativa são desproporcionalmente vulneráveis.
3. Deepfakes corroem a confiança na própria realidade. Como falsificações convincentes existem, imagens autênticas de pessoas reais agora são rotineiramente questionadas. A pessoa que está se comunicando de forma genuína passa a ser colocada em dúvida. “A confiança em relação a ela já está abalada”, diz Geo, “porque alguém fez algo como um deep fake.”

Quando perguntado diretamente se pessoas comuns podem aprender a identificar deepfakes, Geo é honesto: não de forma confiável. Mesmo ele, depois de revisar grandes volumes de conteúdo de deepfakes profissionalmente, acha difícil. A tecnologia ultrapassou o que o olho nu consegue perceber.

Relatório Veriff Deepfakes 2026

Baixe o Deepfakes Report e descubra as taxas de precisão na detecção, as diferenças entre gêneros na identificação de falsificações e estratégias de defesa movidas por IA.

Obtenha relatório gratuito

Como a detecção realmente funciona

Se humanos não conseguem identificar deepfakes de forma confiável, como a Veriff consegue? Geo explica que a detecção não pode depender de um único sinal. Os sistemas da Veriff avaliam mais de 1.000 pontos de dados junto com qualquer imagem ou vídeo – comportamento do usuário antes da sessão, tipo e localização do dispositivo, resolução da imagem, qualidade do vídeo, duração da sessão – para construir um quadro do contexto mais amplo. Um deepfake pode passar em uma verificação, mas falhar diante do peso combinado das evidências.

Artefatos visuais, inconsistências deixadas pelo processo de geração de deepfakes, às vezes podem ser detectados por um olhar treinado, embora muitas vezes apenas ao revisar cuidadosamente vários quadros, e não em um relance.

O princípio-chave: “Não trate deepfake como um problema isolado. Pense nele como um problema de contexto mais amplo.” Organizações que dependem de um único sistema para pegar tudo em uma única interação estão criando um ponto único de falha.

Você consegue identificar o deepfake?

Identidades geradas por IA estão ficando cada vez mais difíceis de detectar. Você acha que consegue identificar um deepfake?

Faça o teste

O que a regulação e o setor estão fazendo

Geo aponta iniciativas emergentes de gigantes de tecnologia, incluindo marcas d’água invisíveis incorporadas em conteúdo gerado por IA para identificar sua origem, como um sinal positivo. Plataformas como o Instagram introduziram rótulos de conteúdo de IA, permitindo que criadores marquem explicitamente o que produzem. Apps de namoro estão fazendo parceria com provedores de verificação de identidade. Há movimento.

Mas Geo deixa claro que é preciso fazer mais. Da mesma forma que regulações começaram a tratar do acesso de menores às redes sociais, a autenticidade da mídia – padrões claros e aplicáveis para distinguir conteúdo real de conteúdo sintético – precisa se tornar uma prioridade regulatória.

Como se proteger: dicas práticas

Ira e Geo encerram com conselhos práticos para indivíduos:

• Leia a política de privacidade. Entenda como seus dados estão sendo coletados e usados por qualquer serviço em que você se cadastra.
• Tenha cuidado com a sua pegada digital pública. Quanto mais o seu rosto, sua voz e seus documentos pessoais estiverem disponíveis publicamente, mais material existirá para uso indevido.
• Seja você mesmo online. Representar-se de forma falsa, mesmo sem intenção de causar dano, cria as condições em que a fraude prospera.
• Ative a autenticação em duas etapas sempre que ela estiver disponível.
• Use um gerenciador de senhas e troque as senhas regularmente.

Para organizações: invista em detecção em camadas, sensível ao contexto, em vez de depender de uma única verificação.

Ouça o episódio completo

Este é o primeiro episódio da série Veriff Voices Deepfakes. Ouça a conversa completa para acompanhar Ira e Geo se aprofundando em cada um desses temas – e fique de olho no restante da série.