A terceira fase da operação envolveu 72 países e territórios, resultou em 94 prisões e mirou infraestrutura usada em phishing, malware, ransomware, fraudes de emprego, golpes românticos e falsas plataformas financeiras.
| Componente | Infraestrutura criminosa composta por 45.000 endereços IP e servidores associados a campanhas de phishing, malware e ransomware, além de sites fraudulentos ligados a falsos cassinos, bancos, governos e serviços de pagamento. |
| Vetor | Uso de engenharia social, comprometimento de contas de redes sociais, páginas falsas, aplicativos móveis, plataformas sociais e mensageria criptografada para atrair vítimas em golpes financeiros, românticos, de emprego e investimento. |
| Impacto | A operação resultou na derrubada de infraestrutura maliciosa, 94 prisões, 110 investigados e apreensão de 212 dispositivos eletrônicos e servidores; vítimas eram levadas a transferir dinheiro ou inserir informações pessoais em ambientes fraudulentos. |
| Prioridade | Equipes de segurança devem reforçar monitoramento de marcas falsificadas, domínios de phishing, anomalias em contas sociais, transações para contas de mula e fluxos financeiros que passem por carteiras, fintechs externas ou conversão para USDT. |
| Artefatos | Mais de 33.000 sites de phishing e fraude foram identificados em Macau; em Bangladesh foram apreendidos 134 dispositivos; em Togo, 10 suspeitos foram detidos por fraude, invasão de contas sociais e esquemas de extorsão. |
| Período | A terceira fase da Operação Synergia ocorreu entre 18 de julho de 2025 e 31 de janeiro de 2026. |
A terceira fase da Operação Synergia removeu ou interrompeu 45.000 endereços IP e servidores usados em atividades criminosas distribuídas entre phishing, malware e ransomware. A ação teve participação de 72 países e territórios e produziu efeitos simultâneos sobre infraestrutura, operadores e equipamentos, com 94 pessoas presas, 110 ainda sob investigação e 212 dispositivos eletrônicos e servidores apreendidos em locais considerados relevantes para as investigações.
O caso não descreve uma única intrusão, mas um conjunto de ecossistemas de fraude e abuso digital com objetivos financeiros. As frentes citadas incluem golpes de empréstimo e emprego, roubo de identidade, fraude com cartão de crédito, falsos relacionamentos, sextorsão, páginas fraudulentas de cassinos, imitações de bancos, órgãos governamentais e serviços de pagamento. Para defesa, o ponto central é que a infraestrutura derrubada sustentava tanto vetores técnicos, como páginas e servidores maliciosos, quanto vetores humanos, como persuasão em redes sociais e aplicativos de mensagem.
Em Togo, a operação identificou um grupo que operava a partir de uma área residencial e combinava acesso não autorizado a contas de redes sociais com engenharia social. Após obter controle de uma conta, os operadores passavam a interagir com contatos da vítima original como se fossem o titular legítimo. Esse abuso de confiança ampliava o alcance do golpe, porque amigos e familiares recebiam mensagens de um perfil conhecido e tinham menor probabilidade de tratar a interação como fraude no primeiro contato.
O fluxo descrito para essa frente envolvia a criação de vínculos falsos, inclusive em golpes românticos, e a pressão sobre vítimas secundárias para realizar transferências de dinheiro. Em outra frente, autoridades em Macau identificaram mais de 33.000 sites de phishing e fraude relacionados a falsos cassinos e a imitações de serviços críticos, incluindo bancos, governos e pagamentos. Essas páginas induziam o usuário a adicionar saldo ou fornecer dados pessoais, criando risco direto para credenciais, dados cadastrais e movimentações financeiras.
Na Índia, uma investigação separada relacionada a fraude organizada de investimentos e trabalho parcial descreveu o uso de plataformas sociais, aplicativos móveis e serviços de mensagens criptografadas para atrair vítimas com promessas de retorno elevado. O fluxo financeiro relatado começava com depósitos menores e lucros fictícios exibidos em sites falsos, avançava para aportes maiores e depois passava por múltiplas contas de mula. Parte dos valores era sacada fora do país com cartões habilitados para transações internacionais, usada em recargas de carteiras associadas a plataformas como Pyypl, convertida para criptoativos e consolidada em estruturas ligadas a empresas de fachada.
A superfície exposta abrange usuários finais, instituições financeiras, plataformas de pagamento, redes sociais, serviços de mensageria, marcas públicas falsificadas e organizações que podem ter seus nomes usados em páginas de phishing. A presença de falsos sites de bancos, governos e meios de pagamento mostra que o risco não se limita ao comprometimento técnico de uma empresa específica; ele também inclui abuso de identidade visual, confiança institucional e fluxos de autenticação ou pagamento simulados.
Para equipes corporativas, a ameaça se manifesta em três camadas. A primeira é a camada de identidade, com contas sociais ou perfis pessoais comprometidos sendo usados para enganar contatos. A segunda é a camada de marca, na qual sites falsos tentam reproduzir serviços legítimos para capturar dados ou induzir depósitos. A terceira é a camada financeira, com transações distribuídas por contas de mula, pagamentos internacionais, recargas de carteira, conversão para USDT e uso de empresas de fachada para dificultar rastreabilidade.
- Usuários atraídos por falsas vagas, empréstimos, investimentos, cassinos, relacionamentos ou oportunidades de trabalho parcial.
- Contas de redes sociais usadas como ponto de confiança para abordar contatos da vítima original.
- Instituições imitadas em páginas fraudulentas, incluindo bancos, governos e serviços de pagamento.
- Fluxos financeiros com múltiplas contas bancárias, transações aparentando
PoS, saques internacionais, carteiras externas e criptoativos.
A detecção defensiva deve combinar sinais técnicos e comportamentais. Em redes corporativas, proxies, DNS, EDR e gateways de e-mail podem revelar acessos a domínios recém-criados, páginas com semelhança visual com marcas conhecidas, redirecionamentos para formulários externos e padrões de tráfego ligados a campanhas de phishing. Em ambientes de identidade, mudanças repentinas de localização, sessões simultâneas, troca de e-mail de recuperação, novas regras de encaminhamento e mensagens enviadas em massa por contas sociais ou corporativas devem ser tratados como sinais de tomada de conta.
Em instituições financeiras e equipes antifraude, a caça deve observar depósitos fracionados seguidos de transferências rápidas, concentração de valores em contas recém-abertas, recargas para carteiras externas, saques fora do país e conversão recorrente para criptoativos. O detalhe de transações que aparecem como PoS em sistemas bancários é relevante porque pode mascarar a natureza real do fluxo. A correlação entre reclamações de clientes, nomes de plataformas, chaves de pagamento, dispositivos e padrões de acesso ajuda a separar fraude isolada de operação organizada.
- Consultas DNS e acessos web para páginas que imitam bancos, governos, pagamentos, cassinos ou plataformas de investimento.
- Mensagens incomuns enviadas por contas legítimas para contatos próximos com pedido de transferência, urgência financeira ou vínculo romântico simulado.
- Transações em sequência para contas de mula, recargas de carteira internacional, saques com cartão habilitado para uso externo e conversão para
USDT. - Dispositivos associados a múltiplas contas, múltiplas vítimas ou administração diária de campanhas fraudulentas.
A resposta deve começar pela redução de exposição das contas e marcas mais exploradas. Organizações com presença pública precisam manter monitoramento de domínios parecidos, páginas falsas, anúncios fraudulentos e perfis que usem nomes institucionais para induzir pagamentos. Para contas de redes sociais e canais de atendimento, autenticação multifator, revisão de sessões ativas, alertas de alteração de recuperação e trilhas de auditoria são controles essenciais para limitar o uso de identidades legítimas em golpes contra terceiros.
Em operações financeiras, a mitigação depende de regras de fraude que considerem comportamento e encadeamento, não apenas valor individual. Depósitos pequenos seguidos de aportes maiores, repasses rápidos por múltiplas contas, uso de cartões para transações internacionais e conversão para ativos virtuais devem alimentar modelos de risco e filas de investigação. Quando uma campanha for confirmada, a contenção deve incluir congelamento de contas associadas, preservação de evidências digitais, comunicação com provedores, derrubada de páginas fraudulentas e orientação às vítimas para reduzir pagamentos adicionais.
- Monitorar e solicitar remoção de domínios e sites que falsifiquem marcas, serviços de pagamento, órgãos públicos ou plataformas financeiras.
- Aplicar autenticação multifator e revisar sessões, dispositivos vinculados e mecanismos de recuperação em contas sociais e corporativas sensíveis.
- Correlacionar denúncias de usuários com telemetria de DNS, e-mail, proxy, identidade, antifraude bancária e carteiras externas.
- Preservar logs, imagens forenses autorizadas e registros transacionais antes de bloquear contas, derrubar páginas ou acionar parceiros de resposta.
0 Comentários