Golpes com IA por SMS e ligação: por que o phishing ficou mais convincente e como se proteger
Compartilhe:
Os golpes digitais deixaram de depender apenas de mensagens mal escritas, promessas absurdas e links visivelmente suspeitos. A nova fase do phishing usa inteligência artificial para escalar ataques, melhorar textos, simular páginas confiáveis e tornar abordagens por SMS, ligação e aplicativos de mensagem muito mais convincentes. Isso muda o nível de atenção necessário para qualquer pessoa que usa smartphone, Pix, banco digital, cartão de crédito ou serviços online.
O assunto ganhou ainda mais força após o Google entrar com uma ação judicial nos Estados Unidos contra os responsáveis pelo kit de phishing conhecido como “Outsider”. Segundo a Reuters, o processo acusa o software de permitir ataques com IA, imitar sites confiáveis e orientar criminosos no uso de ferramentas como o Gemini para criar páginas falsas destinadas ao roubo de dados pessoais e financeiros. O Google afirmou ter detectado mais de 1,5 milhão de URLs ligadas ao Outsider entre novembro e abril.
Esse caso é importante porque mostra uma mudança de escala. Antes, muitos golpes exigiam conhecimento técnico maior ou dependiam de páginas falsas feitas manualmente. Agora, kits prontos, automação e IA generativa ajudam criminosos a criar mensagens melhores, sites mais parecidos com os originais e abordagens mais personalizadas. O resultado é simples e perigoso: o golpe parece menos amador.
No Brasil, o risco se torna ainda mais sensível porque o celular concentra quase tudo: comunicação familiar, trabalho, documentos, redes sociais, bancos digitais e pagamentos por Pix. Uma mensagem falsa sobre entrega, bloqueio de CPF, atualização bancária, compra suspeita ou suposta vantagem pode parecer comum. A diferença é que, hoje, ela pode ter sido escrita com ajuda de IA, enviada em massa e conectada a uma página fraudulenta muito bem construída.
Como os golpes com IA por SMS e ligação funcionam
Golpes com IA não significam, necessariamente, que existe uma “superinteligência” atacando cada pessoa individualmente. Na prática, a IA costuma ser usada para aumentar a eficiência do golpe. Ela pode ajudar a melhorar textos, adaptar mensagens para diferentes perfis, criar páginas falsas com aparência profissional, gerar scripts de atendimento e até simular vozes em golpes mais sofisticados.
O phishing tradicional tenta enganar a vítima para que ela revele dados, clique em um link, instale algo, informe um código ou faça uma transferência. Com IA, esse processo fica mais polido. A mensagem pode usar português correto, tom institucional e detalhes que parecem plausíveis. O golpe também pode explorar temas urgentes, como “compra não reconhecida”, “conta bloqueada”, “entrega pendente”, “regularização de cadastro” ou “tentativa de Pix suspeita”.
No caso do Outsider, o Google afirmou que a rede distribuía kits de phishing capazes de permitir campanhas falsas por SMS com aparência de marcas confiáveis. A própria publicação do Google citou 9 mil sites falsos, mais de 1 milhão de URLs fraudulentas, 55 mil mensagens de spam denunciadas por usuários Android em duas semanas de maio e 2,5 milhões de mensagens enviadas a usuários Android com links para sites gerados pelo Outsider no mesmo período.
SMS falso: o golpe começa pequeno, mas parece urgente
O SMS falso, também chamado de smishing, é uma das portas de entrada mais comuns. A mensagem geralmente tenta provocar uma reação rápida. Ela pode dizer que uma compra foi aprovada, que uma encomenda está retida, que uma conta será bloqueada, que existe uma dívida urgente ou que há uma recompensa disponível. O objetivo é fazer o usuário clicar antes de pensar.
O Serpro alerta que golpes por mensagens costumam usar tom de urgência, ameaça ou recompensa para induzir cliques em links maliciosos. A orientação é desconfiar de mensagens que pedem dados pessoais, bancários, códigos de verificação ou pagamentos por links recebidos em aplicativos e SMS.
Com IA, esse tipo de mensagem pode ficar mais convincente porque o texto deixa de parecer genérico. O criminoso pode variar o conteúdo, ajustar o tom e criar versões diferentes para bancos, operadoras, lojas, serviços públicos e plataformas digitais. Isso reduz a sensação de “mensagem copiada” e aumenta a chance de a vítima acreditar.
O sinal mais importante não é apenas a aparência da mensagem. É a ação que ela pede. Se a mensagem exige clique imediato, senha, código, instalação de aplicativo, pagamento por Pix ou confirmação de dados sensíveis, o risco é alto. Mesmo que o texto pareça profissional, a atitude correta é sair da mensagem e acessar o canal oficial manualmente.
Por que a IA torna o phishing mais perigoso
A inteligência artificial não inventou o phishing. Mas ela melhora três pontos centrais do golpe: velocidade, personalização e aparência. Um criminoso pode gerar muitas variações de mensagens em pouco tempo. Também pode criar páginas falsas mais organizadas, com linguagem mais natural e instruções que imitam o fluxo de serviços reais.
Isso importa porque a maioria das pessoas aprendeu a identificar golpes antigos por sinais visíveis: erro de português, design ruim, link estranho e promessa exagerada. Esses sinais ainda existem, mas já não são suficientes. Um golpe atual pode ter layout limpo, texto bem escrito e uma sequência de telas parecida com a de uma instituição legítima.
Reportagens especializadas sobre o caso Outsider apontaram que o serviço funcionava como phishing-as-a-service, ou seja, uma espécie de “golpe como serviço”. Segundo a SecurityWeek, a operação era coordenada via Telegram, usava kits para imitar marcas conhecidas por SMS e, de acordo com o FBI, teria atuado desde 2023, alcançando vítimas nos Estados Unidos e em dezenas de outros países.
Esse modelo é perigoso porque reduz a barreira técnica. Pessoas sem grande conhecimento de programação podem usar ferramentas prontas para disparar campanhas. A IA entra como acelerador. Ela ajuda na linguagem, na estrutura das páginas e nos roteiros de convencimento. Em vez de um golpe artesanal, temos uma cadeia organizada.
Ligação falsa com IA e golpe por voz
Além do SMS falso, a ligação falsa com IA preocupa por explorar um elemento emocional: a confiança na voz. Em golpes por voz, criminosos podem simular atendentes, representantes de bancos, suporte técnico ou até pessoas conhecidas. Em versões mais sofisticadas, tecnologias de clonagem de voz e deepfake de áudio podem ser usadas para tornar a abordagem mais realista.
O ponto central é que a vítima não deve confiar apenas no som da voz, no número exibido na tela ou na suposta autoridade de quem liga. Golpistas podem criar senso de urgência e pressionar a pessoa a agir enquanto está emocionalmente vulnerável. Frases como “sua conta será bloqueada agora”, “precisamos validar uma transação”, “informe o código que chegou no seu celular” ou “faça um Pix de segurança” devem acender alerta imediato.
Nenhum procedimento sério de segurança deve exigir que o usuário entregue senha, código de autenticação, token, número completo de cartão ou faça transferência para “proteger” dinheiro. Quando uma ligação parecer urgente demais, a melhor resposta é encerrar o contato. Depois, o usuário deve abrir o aplicativo oficial do banco, ligar para o número oficial ou procurar atendimento por canais verificados.
Essa pausa é uma das melhores defesas. O golpe precisa de velocidade. A segurança precisa de confirmação.
Sinais de alerta antes de clicar, atender ou pagar
A defesa contra phishing com IA começa com uma mudança de mentalidade: não basta perguntar “a mensagem parece real?”. A pergunta correta é “essa mensagem está tentando me apressar para entregar algo sensível?”.
Links encurtados, domínios com letras trocadas, endereços que imitam marcas famosas, mensagens que pedem instalação de aplicativos fora da loja oficial e páginas que solicitam dados além do necessário são sinais clássicos. No entanto, mesmo quando o link parece visualmente organizado, ainda é preciso checar o domínio completo.
O Serpro recomenda verificar cuidadosamente o endereço eletrônico, evitar links recebidos por mensagens e acessar serviços públicos digitando o endereço oficial no navegador ou usando aplicativos oficiais. A entidade também destaca que golpes costumam imitar páginas oficiais com pequenas alterações no domínio.
Outro sinal é a pressão psicológica. Golpistas usam medo, recompensa e autoridade. Medo: “sua conta será bloqueada”. Recompensa: “você tem um valor a receber”. Autoridade: “somos do banco”, “somos do governo”, “somos da operadora”. A IA pode melhorar a embalagem, mas a mecânica continua sendo engenharia social.
O que realmente importa na hora de se proteger
A regra mais segura é simples: nunca resolva uma situação sensível a partir de um link recebido por SMS, WhatsApp, e-mail ou ligação inesperada. Acesse o aplicativo oficial, digite o endereço manualmente ou procure o canal de atendimento dentro do próprio app.
Também é essencial ativar autenticação em dois fatores, manter o sistema do celular atualizado, usar bloqueio de tela forte, evitar instalar APKs de fora da loja oficial e revisar permissões de aplicativos. Pequenos empreendedores devem orientar funcionários, familiares e equipes para não tratarem mensagens financeiras como assunto individual. Um único clique pode comprometer contas, cartões, cadastros e reputação.
No caso do Pix, a atenção precisa ser redobrada. O Banco Central possui o Mecanismo Especial de Devolução, criado para facilitar devoluções em casos de fraude, golpe ou coerção, mas isso não significa garantia automática de recuperação do valor. O próprio Banco Central informa que, quando não há dinheiro na conta do golpista, a devolução pode não ocorrer integralmente.
Por isso, a prevenção continua sendo melhor do que a tentativa de recuperação. Antes de fazer qualquer Pix, confirme o destinatário, o nome exibido, o banco, o motivo do pagamento e a origem da solicitação. Se a cobrança veio por link suspeito, ligação urgente ou mensagem com ameaça, pare e confirme por outro canal.
Como agir se você caiu em um golpe
A primeira atitude é reduzir o dano. Se você informou senha, código ou dados bancários, troque as senhas imediatamente. Comece pela conta mais sensível: banco, e-mail principal, WhatsApp, conta Google ou Apple ID. O e-mail merece atenção especial porque costuma ser a chave de recuperação de vários serviços.
Em seguida, entre em contato com o banco pelo canal oficial. Informe que houve suspeita de fraude, solicite bloqueios preventivos, contestação da transação e, quando for Pix, peça a abertura do procedimento cabível. Não use números enviados pelo golpista. Use o aplicativo oficial, o site digitado manualmente ou o telefone impresso no cartão.
Também é recomendável registrar boletim de ocorrência e guardar evidências: prints da conversa, número de telefone, link recebido, comprovante de pagamento, horário da ligação e qualquer dado que ajude na análise. Em casos envolvendo conta gov.br ou serviços públicos, o próprio portal do governo orienta que o usuário registre boletim de ocorrência, detalhe a situação e altere a senha caso identifique acesso suspeito.
Pequenas rotinas que reduzem grandes riscos
A segurança digital não depende de paranoia. Depende de rotina. Uma boa prática é combinar uma “palavra de segurança” com familiares para situações de emergência por telefone. Se alguém ligar dizendo ser parente, pedindo dinheiro ou informando acidente, a palavra combinada ajuda a verificar se a pessoa é real.
Outra rotina útil é separar canais. Banco se verifica no app do banco. Governo se verifica em domínio oficial. Compras se verificam no app da loja. Entregas se verificam no aplicativo da transportadora ou marketplace. Essa separação reduz o poder dos links enviados por terceiros.
Também vale educar familiares mais vulneráveis. Idosos, adolescentes, pessoas com pouca familiaridade digital e pequenos empreendedores podem cair não por descuido, mas por excesso de confiança. Um treinamento simples, com exemplos reais, já reduz o risco.
Tendência: golpes mais personalizados e defesa mais automatizada
A tendência para os próximos meses é que golpes digitais fiquem mais personalizados. Criminosos podem combinar dados vazados, IA generativa e automação para criar mensagens que parecem ter contexto real. Isso inclui nome da vítima, cidade, banco usado, compras recentes ou temas de interesse.
Ao mesmo tempo, empresas de tecnologia, bancos e operadoras tendem a usar mais IA para detectar padrões suspeitos. O próprio Google afirma usar ferramentas com IA para combater golpes com IA, incluindo alertas em chamadas e mensagens e defesas integradas que interceptam bilhões de mensagens maliciosas mensalmente.
Mesmo assim, nenhuma tecnologia resolve tudo sozinha. Filtros podem falhar. Mensagens legítimas podem parecer suspeitas. Golpes podem migrar de SMS para WhatsApp, e-mail, ligação, redes sociais e anúncios falsos. A melhor defesa é uma combinação de tecnologia, educação e verificação independente.
Em resumo: o golpe ficou mais inteligente, mas a prevenção também pode ser
Golpes com IA por SMS e ligação são perigosos porque reduzem sinais óbvios de fraude. A mensagem pode estar bem escrita. A página pode parecer real. A ligação pode soar profissional. Porém, o golpe ainda precisa que a vítima faça algo: clique, informe, pague, instale ou confirme.
A proteção começa quando o usuário entende esse padrão. Não importa o quanto a mensagem pareça legítima. Se ela pede pressa, segredo, código, senha ou pagamento fora do canal oficial, o comportamento correto é interromper, verificar e só depois agir.
Para usuários comuns, famílias, professores, estudantes e pequenos empreendedores, a regra de ouro é clara: confiança não se dá ao contato que chegou até você. Confiança se constrói no canal oficial que você mesmo acessa.
Conclusão: segurança digital agora é hábito diário
A nova indústria do phishing mostra que os golpes não estão apenas mais numerosos. Eles estão mais bem apresentados. A ação do Google contra o Outsider revelou como kits de phishing, IA generativa, sites falsos e mensagens em massa podem formar uma operação organizada, capaz de atingir milhões de pessoas com aparência de normalidade.
Isso não significa que todo usuário precisa virar especialista em cibersegurança. Mas significa que todos precisam adotar hábitos mínimos de proteção. Desconfiar de urgência, não clicar em links recebidos, verificar domínios, acessar aplicativos oficiais, proteger contas com autenticação em dois fatores e conversar sobre golpes com familiares são atitudes simples, mas poderosas.
No fim, a melhor resposta aos golpes com IA é uma combinação de atenção humana e tecnologia bem usada. A IA pode deixar o phishing mais convincente, mas uma decisão consciente ainda pode quebrar o ciclo do golpe.
Se este conteúdo ajudou, compartilhe com alguém que usa Pix, banco digital ou recebe muitas mensagens no celular. Uma conversa preventiva pode evitar um prejuízo real.







