No dia 26 de janeiro de 2026, o Banco do Nordeste perdeu R$ 146,6 milhões num golpe que não envolveu invasão direta de cofre nenhum. Os criminosos entraram através de uma falha num prestador de serviço terceirizado conectado ao Pix, usando uma conta-bolsão para movimentar o dinheiro como se fosse legítimo. O caso só veio a público em maio, mas resume bem o tamanho do problema que o Brasil enfrenta agora.
Não é exagero dizer que o país virou o principal alvo da região. Segundo a Kaspersky, o Brasil concentra 62% de todos os ataques de phishing registrados na América Latina, e o CERT.br/NIC.br registrou um aumento de 120% nas notificações de fraude por phishing no último ano. Se parece que os golpes estão chegando com mais frequência e ficando mais convincentes, a sensação tem respaldo nos números.
Como o Banco do Nordeste perdeu R$ 146,6 milhões
O ataque ao BNB não começou dentro do banco. Segundo o Tecmundo, os criminosos entraram nos sistemas através de uma falha num prestador de serviço ligado à instituição, e usaram uma conta-bolsão para movimentar as transações fraudulentas pelo Sistema Brasileiro de Pagamentos (SPB).
Conta-bolsão é o tipo de conta que fintechs abrem para acessar o SPB e processar Pix em nome de vários clientes ao mesmo tempo. Funciona como um cofre coletivo: o dinheiro de várias pessoas passa por ali antes de ser distribuído. Quando essa conta é comprometida, o prejuízo não fica restrito a um cliente, ele se espalha pela cadeia inteira de instituições conectadas. As novas regras do Banco Central para pagamentos tentam justamente fechar esse tipo de brecha, mas a fiscalização ainda corre atrás do prejuízo.
Por que o Brasil virou o alvo nº1 da América Latina
Os números da Starti, publicados em 1º de junho de 2026, ajudam a entender a escala. De acordo com o Acronis Cyberthreats Report, o Brasil ocupa o 3º lugar no ranking global de abuso de ferramentas legítimas, atrás apenas de Alemanha (27%) e Estados Unidos (26%), com 14% de participação. Abuso de ferramentas legítimas significa usar softwares que você já confia, como apps de acesso remoto ou planilhas, para esconder a ação maliciosa.
Outro dado da mesma pesquisa: 80% das URLs maliciosas voltadas ao público brasileiro em 2026 ficam no ar por menos de 2 horas. Isso não é acidente, é estratégia: o link some antes que empresas de segurança ou navegadores consigam bloqueá-lo, e antes que a vítima desconfie e denuncie.
O vazamento MORGUE: 251 milhões de CPFs à venda
Em abril de 2026, a empresa de inteligência em ameaças Vecert revelou um megavazamento batizado de MORGUE: um hacker identificado como Buddha colocou à venda uma base com 251.720.444 registros de CPFs vinculados ao portal Gov.br, segundo o Hardware.com.br.
O que torna esse vazamento mais perigoso que os anteriores não é só o volume. A base inclui status de óbito, datas de morte, raça, cidade de nascimento e dados de filiação de pessoas vivas e falecidas. Esse tipo de informação cruzada é matéria-prima para golpes personalizados: quem tem acesso a esses dados sabe seu nome completo, o nome da sua mãe, onde você nasceu, e pode montar uma abordagem que soa familiar demais para ser ignorada.
WhatsApp, Pix e e-commerce: onde o golpe te pega
Segundo o CISO Advisor, 9 em cada 10 pequenas e médias empresas brasileiras sofreram pelo menos uma tentativa de ataque via WhatsApp Web ou e-mail em 2025. E o CERT.br aponta que e-commerce e Pix concentram 70% das tentativas de fraude por phishing.
O golpe que usa o nome do Desenrola é um exemplo clássico: o criminoso se passa por um programa oficial, manda um link por WhatsApp e cobra uma taxa para liberar algo que, na vida real, é gratuito. A receita se repete com Pix: mensagem urgente, link parecido com o do banco, pedido para confirmar ou desbloquear uma transação que você nunca fez.
Engenharia Social Ativa: o golpe que engana até quem desconfia
A Febraban chama de Engenharia Social Ativa o tipo de fraude em que a própria vítima autoriza a transação, convencida por um golpista ao telefone, por vídeo ou por mensagem de que está fazendo a coisa certa. Em 2025, esse tipo de fraude gerou um prejuízo consolidado de R$ 4,5 bilhões no setor bancário, segundo a mesma fonte.
Do outro lado, os bancos também investem pesado: a Febraban estima que sistemas de IA usados pelas instituições evitaram R$ 35 bilhões em prejuízos no mesmo período. É uma corrida entre o antifraude do seu banco e quem está do outro lado da linha tentando te convencer a desligar esse sistema. Já mostramos aqui como a IA mudou o dia a dia no Brasil, e a engenharia social ativa é a versão mais sombria dessa mudança: áudios e vídeos sintéticos que imitam vozes conhecidas para dar credibilidade ao golpe.
| Caso | O que aconteceu | Quando | Impacto |
|---|---|---|---|
| Banco do Nordeste | Fraude via conta-bolsão Pix por falha em prestador terceiro | Ataque em 26/01/2026, revelado em 14/05/2026 | R$ 146,6 milhões |
| Vazamento MORGUE | 251,7 milhões de CPFs do Gov.br à venda pelo hacker “Buddha” | Dados extraídos em 03/2025, revelado em 19/04/2026 | Dados de vivos e mortos expostos |
| Engenharia Social Ativa | Vítima convencida a autorizar a própria transação fraudulenta | Balanço de 2025 (Febraban) | R$ 4,5 bilhões em prejuízo consolidado |
Como se proteger sem virar refém do medo
- Desconfie de links recebidos por WhatsApp, mesmo de contatos conhecidos: contas clonadas mandam mensagens em nome de quem você confia.
- Nunca compartilhe código de verificação por SMS ou ligação, nenhuma instituição séria pede isso.
- Confira o domínio antes de clicar, principalmente em links que prometem “desbloquear”, “confirmar” ou “regularizar” algo com urgência.
- Ative a autenticação em duas etapas em e-mail, WhatsApp e aplicativos bancários.
- Desligue e ligue de volta pelo número oficial se alguém te ligar dizendo ser do banco, mesmo que o identificador pareça correto.
E você, já recebeu alguma mensagem essa semana pedindo para “confirmar”, “desbloquear” ou “regularizar” algo com urgência?
Este post foi produzido a partir de um debate colaborativo entre a autora e o agente Hermes, com pesquisa, dados e fontes verificadas.
Fontes
- Starti – Panorama Phishing Brasil 2026 – dados da Kaspersky, CERT.br/NIC.br, Acronis e Febraban (01/06/2026)
- Tecmundo – Banco registra prejuízo de R$ 146,6 milhões após ataque hacker (14/05/2026)
- Hardware.com.br – Vazamento MORGUE expõe 251 milhões de CPFs (19/04/2026)
