Redes de fraude organizada estão utilizando um novo método para mover dinheiro roubado na França. Elas criam contas de negócios falsas em plataformas fintech de freelancers e usam essas contas como contas mule para lavar fundos rapidamente, muitas vezes antes que qualquer pessoa possa rastrear o dinheiro. Esta não é uma simples fraude de um único ator, mas uma operação estruturada construída para evitar detecção em todas as etapas.
Identificação da ameaça e atores
Analistas e pesquisadores da Group-IB identificaram que contas mule confirmadas em plataformas fintech de freelancers europeias estão sendo vendidas ativamente em mercados da dark web por valores entre 200 e 1.000 dólares por conta. O ator por trás desta operação é rastreado como Bastardaseller, parte da maior rede de fraude ASGARD, uma organização estruturada especializada em criar e vender contas de negócios europeias verificadas.
O ator opera um canal principal no Telegram e distribui contas através de múltiplos mercados da dark web. Quase 1 em cada 5 usuários de cadastro na França foi confirmado como uma conta mule, derivado de dados de clientes da Group-IB e extrapolado nacionalmente. A verdadeira escala é provavelmente maior, pois o ataque é projetado para ser invisível em cada ponto de verificação individual.
Esquema de três fases de criação de contas
A operação ocorre em três fases distintas. Na Fase 1, os fraudadores executam campanhas de phishing para coletar informações pessoais identificáveis (PII) das vítimas. Sites de phishing são construídos sob várias histórias de cobertura; um exemplo documentado é um serviço de consulta de hipoteca falso onde as vítimas submetem detalhes pessoais em troca de aconselhamento financeiro.
Na Fase 2, os fraudadores usam a PII roubada para registrar a conta. Pesquisadores da Group-IB observaram que os operadores usam infraestrutura de fazenda de modem SIM para gerar endereços IP e números de telefone com aparência francesa, com endereços rotacionando entre tentativas dentro do mesmo pool dinâmico do provedor. O sinal de fuso horário do dispositivo durante as sessões sugere que os operadores não estão localizados na França.
Na Fase 3, uma vez que o KYC passa, o controle é transferido para a operação de fraude através do aplicativo móvel da plataforma usando um dispositivo Android de baixo custo. A continuidade da sub-rede vincula este novo login de volta à infraestrutura de cadastro, confirmando que a transferência é uma operação deliberada e não um evento de acesso legítimo.
Impacto financeiro e regulatório
De acordo com o Relatório Conjunto EBA-ECB sobre Fraude em Pagamentos, as perdas por fraude de transferência de crédito em todo o Espaço Econômico Europeu atingiram 2,5 bilhões de dólares em 2023, um aumento de 25% em relação ao ano anterior. As contas mule são o principal veículo para essas perdas, com fundos movidos em minutos via trilhos de pagamento instantâneo, muitas vezes além da recuperação.
Para instituições financeiras e equipes de conformidade, isso representa um desafio significativo. A velocidade com que os fundos são movidos dificulta a recuperação, e a sofisticação das técnicas de evasão torna a detecção tradicional ineficaz. A conformidade com regulamentações de combate à lavagem de dinheiro (AML) exige uma abordagem mais proativa e baseada em inteligência.
Recomendações para plataformas e equipes de fraude
Plataformas fintech e equipes de fraude devem sinalizar endereços IP de MVNO em sessões de cadastro de desktop e monitorar a velocidade de cadastro por rede, cidade e ISP. Tratar artefatos de falsificação de impressão digital como sinais de fraude de alta confiança e sinalizar downgrade de dispositivo entre o KYC e a transferência operacional são passos importantes.
A detecção requer vincular sessões ao longo do ciclo de vida completo da conta e identificar padrões no nível da rede, não avaliando contas isoladamente. A implementação de análise comportamental avançada pode ajudar a identificar anomalias que indicam contas mule.
Implicações para segurança corporativa
Para empresas que operam na Europa ou lidam com transações financeiras internacionais, este ataque destaca a necessidade de due diligence rigorosa em parceiros e fornecedores. A verificação de identidade deve ser robusta e contínua, não apenas no momento do cadastro. Monitoramento de transações em tempo real é essencial para detectar movimentos suspeitos de fundos.
A colaboração entre instituições financeiras e agências de aplicação da lei é crucial para combater essas redes organizadas. Compartilhamento de inteligência sobre ameaças e padrões de ataque pode melhorar a capacidade de detecção e resposta.
Perguntas frequentes
Como identificar uma conta mule?
Padrões de comportamento incomuns, como cadastro rápido seguido de transações de alto valor e transferência imediata para outras contas, são sinais de alerta. Análise de rede e dispositivo também pode revelar inconsistências.
Qual o impacto financeiro?
As perdas podem ser significativas, com fundos movidos em minutos. A recuperação é difícil devido à velocidade e à natureza transfronteiriça das transações.
Como se proteger?
Implemente verificações de identidade robustas, monitore transações em tempo real e colabore com outras instituições para compartilhar inteligência sobre ameaças.