Deepfakes, Pix e sites falsos favorecem onda de golpes antes da Copa do Mundo

A Veeam Software, empresa de confiança de Dados e IA, chama atenção para um cenário que vai além das fraudes contra o consumidor final. Eventos de magnitude global como o torneio de futebol criam uma superfície de ataque maior do que a observada em edições anteriores, impulsionada pela convergência entre infraestrutura temporária, operações distribuídas e alta dependência digital. Redes criadas para suportar o evento operam sobre ambientes já existentes, conectando parceiros, fornecedores, sistemas de ingressos, pagamentos, transmissões e operações de estádios sob elevada pressão operacional e exposição pública constante. Para as organizações envolvidas, a questão passa a ser outra: quando algo falhar, conseguirão recuperar rapidamente operações críticas e comprovar a confiabilidade dos Dados?

A menos de uma semana do início do torneio, que acontece entre junho e julho nos Estados Unidos, Canadá e México, fraudes que exploram o entusiasmo dos torcedores já estão em operação em grande escala. Levantamentos de empresas de Cibersegurança apontam crescimento acelerado no número de domínios fraudulentos usando o nome do evento, com milhares de novos sites registrados nas últimas semanas. O que diferencia esta edição das anteriores é o uso de Inteligência Artificial na produção das fraudes, o que torna os golpes mais rápidos de criar, mais baratos de operar e muito mais difíceis de identificar.

Esta também será a primeira Copa do Mundo na era dos agentes autônomos de IA, um contexto em que o ator de uma ameaça não é necessariamente humano. Agentes de IA podem iniciar ações, mover Dados, alterar configurações e acionar fluxos de trabalho na velocidade da máquina. Isso muda o modelo de risco de forma estrutural. A confiança não pode mais se basear em intenções ou suposições. Ela precisa ser construída sobre verificação contínua, Governança e capacidade comprovada de recuperação. E embora a IA possa fortalecer a detecção e a resposta, ela também acelera a falsificação de identidade, o phishing e a interrupção de serviços, o que significa que velocidade e escala agora se aplicam tanto a invasores quanto a defensores.

Entre as fraudes que já estão ativas, três se destacam pelo alto volume e pelo nível de sofisticação. A primeira está relacionada ao álbum de figurinhas do torneio. Criminosos publicam em redes sociais vídeos de supostos compradores satisfeitos recomendando sites de pré-venda. Esses vídeos são gerados por deepfake, técnica de Inteligência Artificial que simula rosto, voz e expressões de forma convincente. A vítima é direcionada para páginas que imitam o layout de lojas oficiais, com preços abaixo do mercado, contadores regressivos para pressionar a compra e até CNPJ no rodapé. Na etapa final, o pagamento é feito via Pix para contas de terceiros e o dinheiro é distribuído entre múltiplas contas em questão de minutos.

A segunda onda envolve sites de apostas esportivas criados semanas antes do evento, que oferecem bônus elevados e prometem lucros diários em troca de depósitos, além de criptomoedas temáticas sem qualquer vínculo real com o torneio. A terceira são os ingressos falsos, vendidos em sites que reproduzem fielmente a interface oficial e usam certificados HTTPS para passar credibilidade, acompanhados de e-mails e mensagens informando que o destinatário foi premiado com entradas ou valores em dinheiro.

A dimensão internacional do problema ganhou um novo capítulo com um alerta público emitido pelo FBI, a polícia federal dos Estados Unidos. A agência identificou criminosos criando versões falsas do site oficial do evento por meio de uma técnica conhecida como typosquatting, que consiste em registrar domínios com pequenas alterações em relação ao endereço legítimo. Na prática, os golpistas trocam uma letra do nome, usam grafias parecidas ou substituem a extensão do site, registrando endereços terminados em .org, .pub ou outras variações no lugar do .com original. O torcedor que digita o endereço com um erro, ou que clica em um link recebido por mensagem, acaba em um site que parece idêntico ao verdadeiro. O objetivo é capturar Dados pessoais como nome, endereço, telefone, e-mail e informações bancárias. O FBI também alertou para uma variação crescente: páginas de recrutamento falsas que usam o nome do evento para atrair candidatos e coletar seus Dados pessoais.

Do ponto de vista das organizações que operam a infraestrutura do torneio ou de eventos vinculados a ele, o risco vai além das fraudes contra o consumidor final. Grandes eventos com múltiplas sedes adicionam novas redes e aplicações sobre infraestruturas já existentes, operadas por um grupo rotativo de parceiros, terceirizados e administradores de curto prazo. Essa fragmentação cria pontos cegos reais. Controles de identidade e acesso inconsistentes, credenciais compartilhadas, implementações apressadas e visibilidade limitada sobre terceiros formam um ambiente onde o invasor encontra caminhos que ninguém mapeou. Quando uma identidade ou um Canal de comunicação confiável é comprometido nesse contexto, o invasor consegue transitar entre sistemas de ingressos, pagamentos, operações e transmissão antes que qualquer alerta seja gerado.

A Veeam Software acredita que a resposta eficaz passa por uma camada de confiança unificada que conecte integridade dos Dados, identidades, acesso e resiliência. Quando esses elementos operam em estruturas separadas, as organizações perdem a capacidade de responder às perguntas que mais importam sob pressão real: este usuário ou agente é legítimo? Esses dados estão limpos? Quais ações estão autorizadas? E se algo der errado, conseguimos recuperar com velocidade suficiente para não perder o jogo? Em um torneio assistido em tempo real por bilhões de pessoas, uma interrupção que se torna pública em segundos pode causar danos tão significativos quanto um ataque de ransomware. Organizações serão avaliadas menos pela ausência de incidentes e mais pela capacidade de recuperar operações e comprovar a integridade dos dados quando algo acontecer.

Nesse contexto, a empresa chama atenção para um padrão que se repete em grandes eventos: a grande parte das organizações deixam para testar os pontos críticos somente quando algo dá errado. O problema não é a ausência de um plano de backup ou de um protocolo de resposta a incidentes. É a falta de prática real para tomar decisões corretas sob pressão pública intensa, no tempo que um evento ao vivo exige.

Antes do apito inicial, quatro pontos precisam ter sido testados de verdade. O primeiro é a velocidade de recuperação aplicada: não a restauração de um ambiente inteiro, mas a capacidade de colocar um serviço específico de volta no ar dentro do tempo que a operação real exige. O segundo é a recuperação de identidade e acesso, o que inclui revogar e rotacionar credenciais comprometidas, restaurar serviços críticos de identidade e restabelecer permissões mínimas quando contas ou tokens forem afetados. O terceiro é a verificação da integridade dos Dados antes de recolocar qualquer sistema online, porque agentes de IA e fluxos automatizados podem propagar alterações maliciosas antes da detecção. O quarto é a contenção sem paralisação total: isolar ativos comprometidos, limitar o raio de impacto e manter as operações críticas funcionando enquanto a recuperação acontece em paralelo.

“O que este torneio representa do ponto de vista da segurança é inédito. Bilhões de pessoas, dispositivos e transações estarão online ao mesmo tempo, e a infraestrutura que sustenta tudo isso, de ingressos a transmissões, de pagamentos a operações de estádio, foi construída com dependências reais e pontos de entrada que os criminosos já estão mapeando. Em 2026, pela primeira vez num evento desse porte, convivemos com agentes de IA que agem por conta própria, dentro de fluxos que muitas organizações ainda não têm visibilidade total. Nesse ambiente, resiliência não é um plano B. É a base. E a pergunta que toda organização deveria ser capaz de responder antes do apito inicial é: se algo der errado, conseguimos recuperar os dados certos, no tempo certo, e provar que eles são confiáveis?”, afirma Marcio de Freitas, gerente de Engenharia de Sistemas da Veeam Software Brasil.

Para ajudar torcedores e empresas a se protegerem nesse período, a companhia reúne também algumas orientações práticas:

Compre ingressos e produtos oficiais apenas nos sites das organizadoras, digitando o endereço diretamente no navegador em vez de clicar em links recebidos por mensagem.
Confira a grafia exata e a extensão do site antes de inserir qualquer Dado, pois endereços terminados em .org, .pub ou .live no lugar do .com oficial são um sinal de alerta.
Evite resultados patrocinados em buscadores e salve o endereço correto nos favoritos.
Desconfie de preços muito abaixo do mercado mesmo em sites que parecem profissionais, já que CNPJ, endereço e depoimentos em vídeo podem ser fabricados com ferramentas de IA.
Verifique o tempo de atividade do domínio em ferramentas gratuitas como o ICANN Lookup (lookup.icann.org).
Tome cuidado com vagas de emprego vinculadas ao torneio e confirme a existência no canal oficial antes de enviar qualquer informação.
Não faça transferências via Pix para contas de pessoas físicas ou empresas desconhecidas, especialmente quando a oferta usa Inteligência Artificial.
Ignore mensagens que informem que você foi sorteado ou premiado com ingressos ou dinheiro.
Mantenha sistema operacional, navegador e software de Segurança sempre atualizados.
Caso já tenha realizado uma transferência para um site suspeito, acione sua instituição financeira e solicite o Mecanismo Especial de Devolução do Banco Central, criado para situações como essa.