Criminosos estão vendendo abertamente contas bancárias verificadas, carteiras fintech e contas de exchange de criptomoedas através de canais do Telegram, transformando a lavagem de dinheiro em um serviço criminal estruturado e sob demanda. Este mercado subterrâneo cresceu muito além do recrutamento informal e agora opera como uma indústria profissional.
As operações dependem de identidades roubadas, personas geradas por IA e credenciais comprometidas para criar contas que passam por verificações de identidade em bancos e plataformas fintech. Criminosos usam documentos forjados, vídeos deepfake e kits de identidade sintética para onboarding de novas contas sem acionar alertas de fraude.
O mercado de contas verificadas
O Telegram tornou-se a principal vitrine para o que pesquisadores chamam de Mule-as-a-Service (MaaS), um segmento especializado do ecossistema mais amplo de Fraud-as-a-Service. Vendedores listam abertamente contas de bancos nos Estados Unidos, América Latina e Europa.
Canais operam com uma estrutura que espelha negócios legítimos de comércio eletrônico, incluindo políticas de reembolso se uma conta comprada for congelada ou restrita. A KELA identificou quase 250.000 mensagens do Telegram relacionadas a "Contas Laranja" no Brasil.
Uso de IA na criação de identidades
A inteligência artificial mudou fundamentalmente como as contas mule são criadas e gerenciadas. Atores de ameaças usam modelos de linguagem grandes, ferramentas de vídeo deepfake e plataformas como RunwayML para fabricar vídeos realistas de movimento facial que enganam sistemas de verificação remota.
Além da criação de contas, a IA automatiza o aquecimento de contas, onde bots realizam transações de baixo risco como pagamento de contas de utilidade para fazer uma conta parecer legítima antes da chegada de fundos ilícitos.
Impacto no Brasil e PIX
A KELA identificou mensagens do Telegram relacionadas a contas bancárias alugadas ou criadas fraudulentamente para mover fundos através do sistema de pagamento instantâneo PIX do Brasil. Na Argentina, mais de 100.000 mensagens do Telegram referenciaram a venda ou aluguel de contas vinculadas a identificadores CBU e CVU.
Plataformas fintech colombianas como Nequi e Daviplata também foram sinalizadas em discussões subterrâneas por sua facilidade percebida de onboarding.
Medidas de mitigação para instituições
Para se defender contra essas ameaças, a KELA recomenda que as organizações monitorem ativamente fóruns da dark web e canais do Telegram para atividade emergente de MaaS. Instituições financeiras devem atualizar sistemas de verificação de identidade para detectar ataques de injeção de deepfake.
Equipes de segurança também devem implantar análises comportamentais capazes de reconhecer aquecimento de contas assistido por IA e comportamentos de smurfing adaptativo que os sistemas AML padrão não foram construídos para capturar.
Perguntas frequentes
- O que é Mule-as-a-Service? Um serviço onde criminosos alugam ou vendem contas bancárias verificadas para lavagem de dinheiro.
- Como a IA ajuda os criminosos? Cria identidades sintéticas e vídeos deepfake para burlar verificações de identidade.
- Qual o impacto no Brasil? Uso massivo de contas para transações via PIX e sistemas de pagamento instantâneo.