Social Engineering via WhatsApp: A Anatomia do Golpe do 'Novo Número' e o Desafio das Fintechs

A mensagem chega geralmente no meio da tarde ou no início da noite: "Oi, mãe. Meu celular caiu na água e estragou a tela. Salva esse meu número novo, por favor. O outro tá sem sinal". Se você nunca recebeu um texto parecido, alguém do seu círculo íntimo com certeza já. O golpe da impersonação via WhatsApp — ou golpe do "novo número" — virou a espinha dorsal da fraude no varejo financeiro brasileiro.

Observamos que a genialidade dessa fraude reside na sua absoluta falta de sofisticação técnica. Não há malware, não há invasão de servidores, não há quebra de criptografia. Os criminosos hackeiam o elo mais vulnerável da cadeia financeira: o cérebro humano.

Dados da Febraban e da Secretaria Nacional de Segurança Pública estimam que, apenas no último ano, as perdas com engenharia social no Brasil ultrapassaram a marca de R$ 2,5 bilhões. O Pix, nossa joia da coroa tecnológica que democratizou os pagamentos, também se tornou a via expressa para a lavagem desse dinheiro roubado.

Nesta análise, vamos mapear como essa cadeia de suprimentos da fraude opera na prática — do garimpo de dados ao cash-out — e detalhar o que os times de risco de gigantes como Nubank, Mercado Pago, Stone e Itaú estão desenhando para estancar essa sangria. Se você opera uma fintech, um banco digital ou um e-commerce, preste atenção aqui. A sua esteira de onboarding pode estar financiando essa engrenagem.

O Fim do SIM Swap e a Ascensão da Impersonação Simples

Há cinco anos, o terror dos bancos era o SIM Swap. O fraudador subornava ou enganava um funcionário de operadora de telefonia (Claro, Vivo, TIM) para transferir o número da vítima para um chip em branco. Com o controle da linha, o criminoso resetava senhas de banco via SMS e limpava a conta.

As operadoras e os bancos apertaram o cerco. A autenticação em dois fatores (2FA) via aplicativo e a biometria facial na recuperação de senhas mataram o ROI (Retorno sobre Investimento) do SIM Swap. Ficou caro e arriscado demais.

A criminalidade, operando com uma lógica estritamente capitalista, pivotou. Por que gastar milhares de reais e semanas de planejamento para invadir a conta de alguém, se você pode simplesmente pedir para a vítima transferir o dinheiro de livre e espontânea vontade?

Nasceu assim a impersonação simples. Um chip pré-pago custa R$ 10. Uma foto de perfil roubada do Instagram não custa nada. O criminoso só precisa de duas coisas: uma lista de contatos estruturada e uma conta laranja (mule account) para receber os fundos.

A Cadeia de Suprimentos da Fraude

Não encare o fraudador do WhatsApp como um lobo solitário digitando em um quarto escuro. O mercado de fraudes brasileiro opera como um ecossistema B2B altamente segmentado e eficiente.

O Garimpo de Dados e os Painéis de Busca

A matéria-prima do golpe é o dado vazado. Megavazamentos do passado colocaram CPFs, nomes de parentes, endereços e telefones de mais de 220 milhões de brasileiros em circulação. Hoje, o fraudador não precisa ser hacker; ele assina um "painel de buscas" no Telegram ou na Dark Web.

Por R$ 50 mensais, ele digita o nome de uma pessoa e recebe a árvore genealógica completa. Ele sabe quem é a mãe, o pai, o cônjuge e, crucialmente, os números de telefone associados a esses CPFs. A inteligência da fraude começa na segmentação: idosos são os alvos preferênciais, abordados por supostos filhos ou netos em apuros.

A Engenharia Social Aplicada

Com o alvo definido, o golpista cria um perfil no WhatsApp Business usando o nome e a foto do familiar. A primeira mensagem estabelece a narrativa da troca de número (celular quebrado, roubo, chip com defeito).

O bote vem algumas horas depois. O fraudador alega que precisa pagar uma conta urgente, mas o aplicativo do banco "ainda não liberou o dispositivo novo" por questões de segurança. A urgência é o gatilho psicológico clássico da engenharia social. A vítima, tomada pelo instinto de ajudar o familiar, realiza um Pix de R$ 1.500, R$ 3.000 ou R$ 5.000.

O Cash-out e as Contas Laranja

Aqui o problema cai no colo das fintechs. O dinheiro não vai para a conta do fraudador principal. Ele vai para uma conta de passagem, registrada no nome de um "laranja".

O mercado de contas laranja no Brasil é vasto. Cooptados em redes sociais com promessas de dinheiro fácil, cidadãos comuns vendem o acesso às suas contas em instituições de pagamento. Outras contas são criadas do zero usando identidades sintéticas (CPFs reais com biometrias falsificadas em deepfake) ou dados roubados.

Assim que o Pix da vítima cai na conta laranja 1 (hospedada, digamos, no PagBank), um script automatizado fraciona o valor e o envia imediatamente para as contas laranja 2 e 3 (no Nubank e no Mercado Pago), e de lá para corretoras de criptomoedas, transformando o real em USDT (Tether). Em menos de 60 segundos, o dinheiro vira fumaça digital.

O Pesadelo do Compliance: MED e a Rastreabilidade do Pix

O Banco Central do Brasil desenhou o Mecanismo Especial de Devolução (MED) através da Resolução BCB nº 103 para tentar frear essa assimetria. A teoria do MED é excelente: a vítima avisa seu banco que sofreu um golpe, o banco pagador notifica o banco recebedor via infraestrutura do Pix, e o banco recebedor bloqueia os fundos preventivamente por 72 horas para análise.

Na prática, a eficácia do MED na recuperação de valores totais frequentemente esbarra na barreira dos 10%. Por quê? Velocidade. Quando a vítima percebe o golpe e aciona o banco (geralmente horas depois), a conta laranja já foi esvaziada. O MED tenta bloquear vento.

O Banco Central está implementando o MED 2.0, que permitirá o bloqueio de recursos não apenas na primeira conta recebedora, mas em até cinco camadas de transferências subsequentes. Isso muda o jogo. Instituições que hoje operam como "barrigas de aluguel" para o dinheiro sujo sem saber, terão que reforçar drasticamente seus controles anti-lavagem de dinheiro (AML).

Além disso, a Resolução Conjunta nº 6 obriga as instituições reguladas a compartilharem dados sobre indícios de fraudes. Se um CPF é flagrado operando como laranja no Itaú, essa informação deve ser consumida pela Stone durante a tentativa de abertura de uma nova conta.

Como as Fintechs Estão Contra-Atacando

Para as instituições de pagamento, o custo de não fazer nada tornou-se insustentável. Multas regulatórias, processos judiciais de vítimas buscando responsabilização solidária e dano reputacional forçaram uma evolução nos modelos de risco. A validação transacional isolada (olhar apenas para o valor do Pix e o saldo) morreu. A resposta agora exige complexidade arquitetônica.

Biometria Comportamental (Behavioral Biometrics)

Empresas de segurança como Incognia e Feedzai estão ajudando fintechs a mapear como o usuário segura o celular e interage com o app.

Se a conta do João (um suposto laranja) foi aberta em São Paulo, mas o aparelho que está ordenando o Pix de repasse está geolocalizado na fronteira do Paraguai, o score de risco dispara. A telemetria analisa a inclinação do giroscópio, a pressão do toque na tela e a velocidade de digitação. Fraudadores operando em fazendas de celulares (device farms) ou usando emuladores de Android deixam rastros comportamentais impossíveis de esconder.

Análise de Grafos e Network Risk

Bancos de dados relacionais tradicionais não pegam redes de laranjas. As fintechs de ponta agora usam bancos de dados em grafos (Graph Databases) para enxergar as conexões ocultas.

O sistema não olha apenas para o CPF recebedor. Ele mapeia a rede: o dispositivo móvel que acessou a conta 1 também acessou a conta 2? O Wi-Fi usado pela conta 3 é o mesmo IP que abriu a conta 4? Se uma nova conta recebe R$ 5.000 via Pix e, em 10 segundos, envia cinco transferências de R$ 1.000 para contas sem histórico de relacionamento prévio, o motor de grafos congela a transação.

Fricção Intencional (Friction by Design)

Na corrida pela melhor experiência do usuário (UX), as fintechs removeram todos os atritos do onboarding e das transações. Agora, estão colocando a fricção de volta, mas de forma inteligente.

Se o motor de risco detecta uma anomalia baseada no valor, no horário ou no destinatário (uma conta recém-criada, por exemplo), o aplicativo exige um passo extra. Pode ser uma selfie em tempo real (liveness detection) ou um atraso proposital de 30 minutos na liquidação do Pix para análise manual (o chamado Pix Retido). A fricção é o maior inimigo da automação criminosa.

Implicações Práticas para o Mercado

Se você atua na liderança de risco ou compliance de uma instituição financeira no Brasil agora em 2026, a tolerância regulatória para falhas no monitoramento de contas está no zero.

O desafio central não é apenas proteger o seu cliente de enviar o dinheiro (o que é dificílimo, pois ele faz isso voluntariamente sob manipulação psicológica). O grande risco regulatório é a sua instituição ser o destino desse dinheiro. Hospedar contas laranja destrói sua classificação no Índice de Reclamações do Banco Central e atrai fiscalizações rigorosas do COAF.

A revisão das esteiras de KYC (Know Your Customer) precisa ir além da simples verificação de CNH e selfie. Requer a validação contínua da identidade (Continuous Authentication) durante todo o ciclo de vida do cliente. O monitoramento transacional deve cruzar os limites da sua instituição, integrando-se rápidamente às bases de dados de fraudes compartilhadas via Resolução Conjunta nº 6.

A impunidade cibernética no Brasil se apoia na fragmentação da informação. A única forma de quebrar a lucratividade do golpe do novo número é unificando a inteligência de ameaças entre os competidores do mercado.

O criminoso sempre buscará o caminho de menor resistência. Hoje, esse caminho é o WhatsApp da sua mãe conectado a uma conta laranja mal monitorada em uma fintech. A tecnologia para fechar essa porta existe. O que separa as instituições que vão sangrar daquelas que vão prosperar é a velocidade de implementação dessas defesas estruturais.