Account takeover em fintechs: quando o criminoso se torna o cliente

Imagine a cena: 2h da manhã de uma terça-feira. Um acesso é feito no aplicativo do Nubank ou do Mercado Pago. O IP é de São Paulo, o mesmo estado do titular. A senha foi digitada corretamente na primeira tentativa. O token de validação enviado por SMS foi inserido em meros 4 segundos. O sistema aprova a entrada.

Nos próximos doze minutos, três transferências via Pix esvaziam o saldo da conta corrente, limpam a caixinha de reserva de emergência e tomam o limite máximo do empréstimo pessoal pré-aprovado. O dinheiro é pulverizado em cinco contas laranjas de diferentes instituições e sacado quase imediatamente.

Para o sistema de segurança legado da instituição financeira, o cliente operou a própria conta. Não houve quebra de criptografia, não houve invasão aos servidores do banco. A porta da frente foi aberta com a chave certa. Para a vítima que acorda às 7h e abre o aplicativo, a vida financeira foi obliterada.

Isso é o Account Takeover (ATO). A tomada de conta. O pesadelo silencioso que sangra o sistema financeiro nacional diariamente.

Acompanhamos a evolução da fraude bancária no Brasil há quase duas décadas. Vimos o fim dos cheques adulterados, a queda das clonagens de cartão de tarja magnética e a ascensão do chip EMV. Mas a digitalização total do varejo financeiro trouxe um vetor de ataque implacável. A vulnerabilidade central não está mais nos cofres das fintechs, e sim na identidade digital pulverizada do usuário.

Quando o criminoso rouba as credenciais e assume a sessão autenticada, ele se torna o cliente. Defender um ecossistema contra um "cliente legítimo" é, sem dúvida, o maior desafio de engenharia e risco que o mercado de pagamentos enfrenta agora em 2026.

A anatomia do Account Takeover no Brasil

O Brasil possui uma tempestade perfeita para a proliferação do ATO. Temos uma população hiperconectada, alta adoção de mobile banking e o Pix — um sistema de liquidação instantânea que funciona 24 horas por dia, 7 dias por semana.

O fraudador brasileiro é pragmático. Ele entendeu rápidamente que tentar invadir a infraestrutura de nuvem da Stone, do Inter ou do PagSeguro custa milhões e exige conhecimento técnico de elite. Hackear o João da Silva, que usa a mesma senha para o e-commerce de pet shop e para o seu internet banking, custa centavos.

O Account Takeover não acontece no vácuo. Ele é o estágio final de uma cadeia de suprimentos do crime cibernético. Tudo começa com os megavazamentos de dados. Desde os infames incidentes de 2021, que expuseram CPFs e históricos de crédito de práticamente toda a população econômicamente ativa, a dark web brasileira opera como um mercado atacadista de identidades.

Kits completos de informações, conhecidos no submundo como "fullz", são vendidos em fóruns e grupos de Telegram. O criminoso compra o nome, CPF, nome da mãe, data de nascimento e senhas vazadas de serviços de terceiros. Com esse arsenal, ele inicia o cerco à conta bancária.

Como os fraudadores roubam a cadeira do titular

O mercado subestima a sofisticação das quadrilhas focadas em ATO. Não estamos falando de lobos solitários em porões, mas de operações estruturadas com metas de conversão, scripts de atendimento e ferramentas automatizadas. Observamos quatro vetores principais dominando as invasões de contas no Brasil.

Credential Stuffing e o reaproveitamento de senhas

O ser humano é previsível. A maioria das pessoas gerencia dezenas de contas digitais usando variações da mesma senha. O Credential Stuffing (preenchimento de credenciais) automatiza a exploração desse mau hábito.

Criminosos útilizam botnets para testar milhões de combinações de e-mail e senha — obtidas em vazamentos de sites de varejo, fóruns ou redes sociais — diretamente nas APIs de login das fintechs. A força bruta tradicional tenta adivinhar a senha de um único usuário. O credential stuffing pega uma senha vazada e testa se o usuário a reaproveitou no seu banco digital.

Se a fintech não possuir um bloqueio robusto contra múltiplas tentativas ou falhar em identificar o tráfego de bots, a conta cai.

Engenharia social: a central de atendimento falsa

Quando a tecnologia falha, o criminoso ataca a mente. A engenharia social no Brasil atingiu níveis cinematográficos. O fraudador liga para a vítima simulando ser da área de prevenção a fraudes de sua fintech. Eles mascaram o número de telefone (spoofing) para que o identificador de chamadas mostre o número real do banco.

O roteiro é criado para induzir pânico: "Identificamos uma tentativa de compra de R$ 4.500 no seu cartão. Para cancelar, digite o código que acabamos de enviar por SMS". O código, na verdade, é o token de recuperação de senha ou o código de autorização de um novo dispositivo. A vítima, acreditando estar bloqueando uma fraude, entrega a chave do cofre. O criminoso assume a conta.

SIM Swap: a traição na rede de telefonia

Se o criminoso tem a senha, mas esbarra na Autenticação de Dois Fatores (2FA) via SMS, ele precisa interceptar a mensagem. O SIM Swap (clonagem de chip) resolve esse problema de forma brutal.

Através do suborno de funcionários de operadoras de telefonia ou útilizando engenharia social contra o atendimento das teles, o criminoso transfere o número de telefone da vítima para um chip em branco sob seu controle. O celular da vítima perde o sinal (entra em "Sem Serviço"). A partir desse momento, todos os SMS de verificação do WhatsApp, e-mail e aplicativos bancários caem nas mãos do invasor.

Malware bancário e a "mão fantasma"

O Brasil é o maior exportador global de trojans bancários. Famílias de malware como BRata, Guildma e Grandoreiro evoluíram para realizar o ATO diretamente do aparelho da vítima.

O ataque conhecido como "Mão Fantasma" abusa dos serviços de acessibilidade do Android — ferramentas legítimas criadas para ajudar pessoas com deficiência visual. A vítima baixa um aplicativo malicioso disfarçado de leitor de PDF ou atualizador de sistema. Uma vez que as permissões de acessibilidade são concedidas, o malware opera invisível.

Quando a vítima abre o app do banco e faz o login, o malware entra em ação. Ele escurece a tela, simulando um travamento. Nos bastidores, o código malicioso navega pelo aplicativo do banco, lê o saldo, insere a chave Pix do fraudador e confirma a transferência usando a própria sessão autenticada do usuário. É o ATO perfeito, pois ocorre no dispositivo legítimo da vítima, na rede Wi-Fi legítima.

O impacto financeiro e a pressão regulatória

As consequências do ATO são devastadoras. Do lado do cliente, a perda financeira muitas vezes representa as economias de uma vida. Do lado das instituições, o custo é duplo: o prejuízo direto dos reembolsos forçados pela justiça e o dano reputacional incalculável.

O Banco Central do Brasil não ficou parado assistindo ao banho de sangue. A Resolução Conjunta nº 6 apertou o cerco, obrigando as instituições reguladas a compartilharem dados sobre indícios de fraudes. O objetivo é criar um repositório centralizado onde um CPF ou chave Pix associado a contas laranjas seja imediatamente flagrado por todo o sistema financeiro.

O Mecanismo Especial de Devolução (MED) do Pix foi criado exatamente para tentar mitigar os danos de fraudes como o ATO. Na prática, a eficácia do MED ainda esbarra na velocidade do crime. Quando a vítima aciona o mecanismo, o dinheiro roubado já foi transferido para terceiras ou quartas contas, ou convertido em criptoativos. O rastreio quebra.

Os tribunais brasileiros, baseados no Código de Defesa do Consumidor e na Súmula 479 do STJ, frequentemente responsabilizam as instituições financeiras pelos danos causados em casos de invasão de conta, considerando a fraude um "fortuito interno" — um risco inerente ao negócio. Essa jurisprudência força as fintechs a tratarem a segurança não como um centro de custo, mas como a principal alavanca de sobrevivência do negócio.

O contra-ataque das fintechs: defesas invisíveis

Como você para um invasor que tem a chave correta, a senha certa e o token válido? Você para de olhar para o que ele está apresentando e começa a analisar quem ele é e como ele se comporta.

A fronteira da prevenção à fraude nas fintechs brasileiras migrou da segurança baseada em atrito explícito (pedir senhas intermináveis) para a segurança baseada em sinais silenciosos.

Biometria comportamental

A biometria comportamental não analisa o seu rosto ou a sua digital. Ela analisa a sua interação física com o hardware. Empresas de prevenção como a Incognia e módulos de segurança avançados analisam dezenas de microvariáveis simultaneamente.

O cliente legítimo segura o celular em um ângulo de 45 graus, digita sua senha com o polegar direito a uma velocidade de 300 milissegundos por tecla, e costuma acessar o app do banco na sua casa ou no escritório.

Quando o criminoso assume a conta via emulador no computador, o acelerômetro do celular reporta zero movimento. Quando a "Mão Fantasma" digita a senha, a velocidade de inserção dos caracteres é sobre-humana — 5 milissegundos entre as teclas. A biometria comportamental detecta essa anomalia instantaneamente e bloqueia a sessão, mesmo que a senha esteja correta.

Device Fingerprinting avançado

Reconhecer o dispositivo vai muito além de saber se é um iPhone ou um Samsung. O fingerprinting avançado cria uma assinatura única do aparelho baseada no hardware, versão do sistema operacional, nível da bateria, rede conectada e até micro-imperfeições na renderização da tela.

Se uma conta baseada no Rio de Janeiro, que sempre foi acessada por um Motorola Moto G, de repente é logada por um emulador de Android rodando em um servidor na Rússia, o sistema corta o acesso.

Autenticação contínua e atrito inteligente

O modelo antigo confiava cegamente na etapa do login. Uma vez dentro do app, o usuário tinha passe livre. As fintechs de ponta agora operam sob o modelo Zero Trust (Confiança Zero) com autenticação contínua.

A verificação ocorre em background durante toda a jornada. Se o usuário decide fazer um Pix de R$ 10.000 às 3h da manhã para uma conta recém-criada de outra titularidade — um desvio radical do seu padrão de consumo —, a fintech introduz o atrito inteligente.

Neste momento, a transação é pausada e o aplicativo exige uma prova de vida (liveness detection facial). O fraudador que comprou a senha na dark web não tem o rosto da vítima. O malware que controla a tela remotamente não consegue forjar a biometria facial 3D em tempo real. O golpe falha na linha de chegada.

O que esperar para o biênio 2026-2027

O jogo de gato e rato está entrando em uma fase turbinada por inteligência artificial. Do lado do ataque, já monitoramos o uso de deepfakes de áudio e vídeo para burlar processos de recuperação de conta e biometria facial. Fraudadores útilizam IA generativa para clonar a voz do cliente e enganar as centrais de atendimento telefônico dos bancos.

Do lado da defesa, as fintechs estão integrando modelos de machine learning preditivos que analisam grafos de conexões. Se um dispositivo suspeito tentou acessar uma conta da Stone, a rede neural aprende o padrão e imuniza as contas do Mercado Pago e do Nubank contra aquele mesmo vetor minutos depois, através de consórcios de inteligência de ameaças.

O Account Takeover continuará existindo enquanto houver humanos cometendo erros de segurança. A responsabilidade das plataformas financeiras não é tentar curar a ingenuidade do usuário, mas construir redes de contenção tão densas e silenciosas que, mesmo quando o criminoso conseguir sentar na cadeira do cliente, ele descubra que o cofre mudou de lugar e as portas estão todas trancadas por dentro.