SMS falsos, por que os golpes digitais explodiram no Brasil

De deepfakes a SMS falsos: por que os golpes digitais explodiram no Brasil 

O Brasil vive uma onda de golpe digital com características novas e preocupantes: uso massivo de deepfakes (áudios e vídeos sintéticos), smishing (SMS falsos), campanhas avançadas de phishing via WhatsApp e exploração sistemática do Pix e do comércio eletrônico. Relatórios recentes mostram aumentos de dois dígitos — e, em algumas modalidades, de várias centenas por cento — que transformaram fraudes antes fragmentadas em um problema de segurança pública e econômica de larga escala. Este artigo analisa por que isso está acontecendo, como os ataques são montados, quais setores e faixas etárias são mais atingidos e, finalmente, que defesas técnicas e organizacionais são essenciais para mitigar o problema. 

Panorama atual: números e tendências que não podemos ignorar

Relatórios recentes sobre fraude e identidade apontam picos alarmantes:

• Estudos de mercado e levantamentos setoriais indicam que ataques com deepfakes cresceram de forma explosiva (variações reportadas chegam a +100% a +800% em certos levantamentos), e que mensagens SMS fraudulentas (smishing) e golpes por WhatsApp aumentaram em escala. 

• Outros levantamentos setoriais mostram que fraudes relacionadas ao Pix, e-commerce e chamadas falsas para centrais de atendimento compõem uma parcela significativa das perdas financeiras e dos incidentes reportados no país. O aumento não é apenas de técnica, mas também de volume e automação das campanhas. 

Esses números explicam por que autoridades, bancos e empresas de segurança elevam o tom — o Brasil hoje aparece entre os países com maior volume de tentativas de fraude digital na América Latina, e em muitos relatórios figura como um dos mercados mais visados. 

Por que o cenário evoluiu tão rápido? (fatores convergentes)

A explosão dos golpes no Brasil decorre da convergência de fatores técnicos, econômicos e sociais:

• Commoditização da IA e ferramentas de deepfake
  Modelos e ferramentas de geração de voz e vídeo tornaram-se mais baratos, acessíveis e fáceis de usar — o que reduz a barreira técnica para criar deepfakes convincentes. Ataques que antes exigiam equipe técnica especializada hoje podem ser montados em larga escala com automação. Isso eleva a credibilidade das mensagens fraudulentas (vishing, anúncios falsos, vídeos de “autoridade”).

• Automação e orquestração de campanhas (abuso de LLMs/ChatGPT para criação de textos e scripts de smishing)
  Ferramentas de LLM facilitam a geração de mensagens persuasivas, localizadas e personalizadas, tornando o phishing por SMS/WhatsApp mais efetivo e barato por mensagem enviada — por isso vemos campanhas com volumes enormes e grande capacidade de segmentação. Pesquisas acadêmicas já demonstram que chatbots generativos podem ser abusados para criar campanhas de smishing altamente evasivas. 

• Economia de escala e “micro-fraude”
  Muitos golpistas apostam em volumes altos com alvos de baixo valor unitário (pagamentos de poucas dezenas de reais) — o chamado “modelo de imunidade estatística” — que, somado, gera lucro considerável enquanto mantém baixa probabilidade de denúncias. Casos investigados pela polícia brasileira mostraram golpes com deepfakes em anúncios que geraram milhões em receitas ilíticas. 

• Vulnerabilidades socio-demográficas
  Dados indicam que faixas etárias mais velhas (acima de 50 anos) e grupos com menor familiaridade digital são alvos preferenciais — tanto porque confiam mais em mensagens de voz e SMS quanto porque raramente reportam pequenas perdas, o que incentiva operadores criminosos. 

• Infraestrutura de pagamentos instantâneos e integração com redes sociais
  Sistemas como Pix facilitam a transferência imediata, o que reduz o tempo que a vítima tem para reagir. Ao mesmo tempo, redes sociais e anúncios pagos são utilizados para distribuir deepfakes e landing pages fraudulentas. A combinação torna o golpe rápido e lucrativo. 

Técnicas preferenciais observadas nas campanhas brasileiras

A análise das campanhas recentes revela padrões técnicos recorrentes:

• Deepfake + isca financeira: anúncios “celebridade” ou vídeos curtos redirecionam para ofertas falsas (promoções, sorteios) pedindo pagamento de “taxa” ou “frete” via Pix. Vídeos e áudios falsos aumentam a confiança do usuário. 

• Smishing com pretexto de segurança bancária: SMS que simulam alertas do banco / operadora pedem que o usuário clique em link curto e informe códigos ou realize pagamento; muitos links levam a páginas de captura (credential harvesting) ou a apps maliciosos. 

• Fraude por “falsa central de atendimento”: o golpe começa com um contato por SMS/WhatsApp e evolui para ligação telefônica em que o criminoso induz a vítima a autorizar transação ou a fornecer dados. 

• Anúncios de redes sociais com deepfakes: uso de rostos/vozes de influencers para promover ofertas — quem paga recebe nada ou recebe instruções para transferir valores pequenos repetidamente. 

Essas técnicas se combinam, frequentemente, em campanhas multicanal coordenadas: SMS/WhatsApp para estabelecer contato + deepfake para validar a história + página de captura + pedido de Pix. O fluxo reduz resistência e acelera o sucesso do golpe.

Impactos reais: financeiros, sociais e institucionais

• Perdas financeiras diretas e custo reputacional: milhões em valores pequenos somam prejuízos relevantes para indivíduos e PMEs; bancos e plataformas perdem confiança pública quando fraudes se multiplicam.

• Sobrecarga das autoridades e serviços de atendimento: o volume de ocorrências sobrecarrega delegacias, bancas de reclamação e serviços de atendimento, reduzindo capacidade de resposta.

• Risco de normalização e “estatística de impunidade”: pequenos golpes não denunciados incentivam operações em escala, dificultando investigação e rastreio financeiro.

O que funciona como defesa — medidas práticas para usuários, empresas e governo

Para usuários (pessoas físicas)

• Desconfie de mensagens urgentes pedindo pagamento/QR/PIN; verifique diretamente no app do banco ou ligue para o número oficial.

• Não clique em links de SMS/WhatsApp recebidos de números desconhecidos; digite o site do banco manualmente ou use o app oficial.

• Ative bloqueios e autenticação forte (MFA) em contas bancárias e e-mail; prefira autenticação por token físico (FIDO) quando disponível.

• Eduque familiares, especialmente idosos, sobre smishing e deepfakes; pequenas ações (confirmar por outro canal) evitam perdas.

• Registre ocorrência e comunique o banco rapidamente — tempo é crítico para reversão ou bloqueio.

Para empresas (bancos, fintechs, e-commerce, redes sociais)

• Detecção avançada de fraude combinando sinais: comportamento transacional anômalo + geolocalização + heurísticas de dispositivo + análise de conteúdo multimídia (detecção de deepfake). Investir em modelos multi-sinal reduz falsos-positivos e detecta campanhas coordenadas. 

• Rate limiting e verificação para transações Pix de alto risco: checagens adicionais para valores atípicos, limites dinâmicos e autenticação adicional quando pedidos iniciados via link.

• Parcerias com plataformas de anúncio e redes sociais: remoção rápida de campanhas fraudulentas e rodízio de listas de bloqueio de criadores de conteúdo abusivos.

• Centros de resposta e comunicação coordenada: playbooks com provedores de telecom, bancos e autoridades para ações de mitigação em massa (bloqueio de URLs, listas de smishing conhecidas).

Para governo e reguladores

• Regulação de plataformas e maior responsabilidade sobre conteúdo fraudulento: exigência de mecanismos de remoção rápida e rastreamento de criadores de anúncios.

• Campanhas públicas de conscientização e hotline unificado: informar a população, com foco em idosos, sobre smishing e deepfakes e criar canais de denúncia fáceis.

• Fortalecer cooperação internacional e rastreamento financeiro: cadeias de pagamento transfronteiriças exigem coordenação para congelamento de recursos e rastreamento de operações de lavanderia de dinheiro.

Cenários de curto prazo: três riscos que merecem foco agora

• Exploração massiva de deepfakes em períodos eleitorais ou campanhas de massa, gerando desinformação e golpes econômicos.

• Campanhas de smishing automatizado usando prompts de LLM — ataques em escala com variação linguística local para escapar de filtros simples.

• Micro-fraudes repetitivas (spikes de micropagamentos) que drenam contas de idosos e pequenos vendedores sem gerar alerta imediato.

Conclusão

A explosão de golpes digitais no Brasil é o efeito previsível da conjunção entre ferramentas de IA cada vez mais acessíveis, mecanismos de pagamento instantâneo e comportamentos humanos exploráveis. Estruturas de defesa tradicionais — assincronias entre denúncias, fragmentação das investigações e foco apenas em ataques sofisticados — não são suficientes frente a campanhas massificadas e automatizadas.

A resposta exige uma abordagem multifacetada: tecnologia de detecção multi-sinal e análise de multimídia, políticas regulatórias que responsabilizem plataformas e anunciantes, programas de educação voltados para grupos vulneráveis, e parcerias público-privadas para reação rápida e bloqueio de infraestruturas criminosas. Sem isso, os criminosos continuarão a transformar deepfakes e SMS falsos em uma fábrica de golpes que opera com baixos custos e alta impunidade.

Referências bibliográficas

• Olhar Digital — “De deepfakes a SMS falsos: Golpes digitais explodem no Brasil, alerta relatório.” Disponível em: https://olhardigital.com.br/2025/12/05/seguranca/de-deepfakes-a-sms-falsos-golpes-digitais-explodem-no-brasil-alerta-relatorio/#google_vignette.

• CNN Brasil — “Metade dos brasileiros foram vítimas de golpes digitais em 2024, diz estudo.” Disponível em: https://www.cnnbrasil.com.br/nacional/brasil/metade-dos-brasileiros-foram-vitimas-de-golpes-digitais-em-2024-diz-estudo/