O golpe do falso gerente ficou muito mais perigoso – por que a prova técnica faz a diferença

A evolução da engenharia social exige uma análise técnica cada vez mais sofisticada para compreender a dinâmica da fraude e avaliar os mecanismos de segurança envolvidos.

Durante anos, o golpe do falso gerente seguia um roteiro relativamente previsível. Agora, porém, os criminosos deram um passo além. Eles passaram a criar uma situação em que a própria vítima encontra no aplicativo bancário uma aparente confirmação de que o suposto gerente está dizendo a verdade.

É uma evolução da engenharia social que torna a fraude muito mais convincente e que, ao mesmo tempo, pode reforçar a discussão sobre a responsabilidade das instituições financeiras.

O criminoso não diz apenas que existe uma fraude. Ele apresenta uma “prova”: a conta realmente aparece negativa. A vítima olha o aplicativo e confirma exatamente aquilo que o suposto gerente está dizendo. E é justamente nesse momento que o golpe se torna extremamente convincente.

A engenharia social ficou muito mais sofisticada

Os criminosos deixaram de depender apenas da boa conversa. Hoje, em muitos casos, eles conhecem o nome completo da vítima, agência, gerente responsável, parte do CPF, histórico financeiro e outras informações que conferem enorme credibilidade ao contato.

Além disso, já não é raro o uso de técnicas de spoofing, capazes de fazer a ligação parecer originada do número oficial do banco. Na tela do telefone da vítima, pode aparecer exatamente o telefone da instituição financeira ou da agência. Em alguns casos, até a fotografia utilizada pelo gerente em aplicativos de mensagens é copiada para tornar a fraude ainda mais convincente.

O consumidor acredita estar falando com quem realmente administra sua conta e, muitas vezes, não há nenhum elemento aparente que desperte desconfiança.

O novo golpe: a conta realmente fica negativa

É aqui que surge a principal evolução da fraude. Os criminosos conseguem iniciar operações na conta da vítima antes mesmo do contato telefônico.

Dependendo do caso, podem tentar realizar um saque utilizando o limite do cheque especial, iniciar o resgate de aplicações financeiras, preparar operações de crédito ou desencadear outras movimentações que fazem o saldo da conta ficar temporariamente negativo.

Quando ligam para a vítima, dizem exatamente aquilo que ela vê na tela. “Detectamos uma movimentação que deixou sua conta negativa” e “Precisamos cancelar imediatamente essa operação.”

A vítima acessa o aplicativo e a conta realmente está negativa. Naquele instante, a fraude deixa de ser apenas um telefonema suspeito. Ela passa a ser confirmada pela própria realidade visualizada no aplicativo bancário.

O cérebro interpreta aquela coincidência como uma validação da história contada pelo criminoso. É exatamente isso que torna essa modalidade extremamente perigosa.

É justamente essa a genialidade da fraude. O criminoso não convence apenas pela conversa; ele faz a própria realidade confirmar sua narrativa. Quando o correntista verifica o aplicativo e encontra exatamente o problema descrito pelo suposto gerente, a tendência natural é acreditar que está diante de uma ligação legítima do setor de segurança do banco. A engenharia social deixa de explorar apenas a confiança e passa a explorar aquilo que a própria vítima consegue visualizar em seu dispositivo.

Como eles conseguem movimentar a conta?

Nem sempre existe um único método. Em alguns casos, o criminoso obtém acesso remoto ao aparelho celular por meio de aplicativos ou ferramentas semelhantes, instalados sob o falso argumento de que seriam necessários para “corrigir uma falha” ou “proteger a conta”.

Em outras situações, utiliza malwares especializados em instituições financeiras, capazes de capturar credenciais, interceptar autenticações ou manipular sessões bancárias.

Também são cada vez mais comuns ataques que exploram permissões de acessibilidade do Android ou autorização para leitura de notificações. Esses recursos, originalmente criados para auxiliar pessoas com deficiência, acabam sendo abusados por aplicativos maliciosos capazes de visualizar códigos de autenticação, confirmar operações ou controlar parcialmente o dispositivo.

Há ainda situações em que toda a fraude ocorre exclusivamente por engenharia social. A vítima, acreditando estar seguindo protocolos legítimos do banco, realiza voluntariamente as operações indicadas pelo criminoso. O ponto em comum é sempre o mesmo: o cliente acredita que está impedindo uma fraude quando, na realidade, está colaborando involuntariamente para sua consumação.

O maior erro é acreditar que a senha resolve a discussão

Em muitos processos judiciais, a defesa do banco resume-se a um argumento recorrente:

“A operação foi autenticada mediante senha, biometria ou token.”

Essa afirmação, entretanto, não encerra a investigação, já que ela apenas demonstra que houve autenticação, mas não demonstra quem efetivamente controlava aquela operação, se existia acesso remoto, se havia malware instalado, se o dispositivo estava comprometido, se o cliente realmente tinha domínio da transação.

Confundir autenticação com autorização consciente é um dos maiores equívocos na análise técnica dessas fraudes.

A perícia digital muda completamente o processo

É justamente aqui que entra a importância da prova técnica. Uma investigação especializada pode responder perguntas que dificilmente aparecem em uma análise superficial do processo.

É possível identificar indícios de acesso remoto ao aparelho, verificar a existência de aplicativos maliciosos, analisar permissões abusivas concedidas a softwares, reconstruir a cronologia dos eventos, examinar notificações, registros de autenticação e diversas outras evidências capazes de explicar como a fraude ocorreu.

Da mesma forma, a perícia pode demonstrar tanto os registros técnicos efetivamente existentes quanto aqueles que deveriam existir e não foram apresentados pela instituição financeira. Logs de autenticação, identificação dos dispositivos utilizados, alterações cadastrais, criação de novos favorecidos, geolocalização aproximada, endereços IP, horários das operações, sequência cronológica das autenticações e, principalmente, a ativação — ou a ausência — dos motores internos de prevenção a fraudes constituem elementos fundamentais para reconstruir os fatos. A inexistência, a insuficiência ou a falta de preservação desses registros também pode revelar fragilidades na governança de segurança e na produção da prova técnica.

Sob a perspectiva probatória, a ausência desses registros também pode impedir que a instituição financeira demonstre adequadamente que seus mecanismos de segurança funcionaram conforme esperado naquele caso concreto.

Esses elementos permitem reconstruir tecnicamente a dinâmica do ataque e verificar se o consumidor realmente realizou as operações de forma livre e consciente ou se sua atuação ocorreu sob influência de um ambiente fraudulento.

A pergunta correta deixa de ser “quem digitou a senha?” e passa a ser outra muito mais relevante: Quem realmente controlava aquela operação?

Os bancos também possuem deveres de segurança

A discussão jurídica também evoluiu. Não basta afirmar que a vítima realizou uma transferência. As instituições financeiras possuem obrigação legal de desenvolver mecanismos capazes de identificar operações incompatíveis com o comportamento habitual de seus clientes.

Esse dever não decorre apenas do Código de Defesa do Consumidor. Ele resulta também do próprio risco inerente à atividade bancária e da legítima expectativa de segurança criada pelas instituições financeiras perante seus clientes. Quanto mais sofisticados são os serviços digitais oferecidos, maior também é o dever de monitoramento, prevenção e resposta diante de operações manifestamente incompatíveis com o perfil do correntista.

Esse dever inclui o emprego de mecanismos proporcionais ao estado da técnica para identificação de padrões anômalos, especialmente em um cenário em que as próprias instituições financeiras utilizam modelos automatizados de detecção de fraude, análise comportamental e inteligência artificial para gerenciamento de riscos.

Esse entendimento vem sendo reiteradamente consolidado pelo Superior Tribunal de Justiça.

No julgamento do REsp 2.052.228, a Terceira Turma afirmou que bancos devem desenvolver mecanismos capazes de identificar movimentações incompatíveis com o histórico do consumidor. A ausência desses controles caracteriza falha na prestação do serviço e atrai a responsabilidade objetiva prevista no Código de Defesa do Consumidor.

Posteriormente, no REsp 2.222.059, o STJ reforçou esse entendimento ao reconhecer que instituições financeiras e instituições de pagamento têm o dever permanente de aprimorar seus mecanismos de prevenção a fraudes, detectando operações incompatíveis com o perfil do cliente quanto ao valor, horário, sequência, localização e forma de realização das transações.

Essas decisões reforçam a aplicação da Súmula 479 do STJ, segundo a qual as instituições financeiras respondem objetivamente pelos danos decorrentes de fraudes praticadas por terceiros quando relacionadas aos riscos inerentes à atividade bancária — o chamado fortuito interno.

A jurisprudência dos tribunais estaduais segue a mesma direção.

O TJSP, por exemplo, já reconheceu que, em casos de golpe do falso gerente, a ausência de mecanismos eficazes de validação das operações, inclusive quando há utilização do limite do cheque especial e contratação de empréstimos seguida de transferências sucessivas, configura falha na prestação do serviço e autoriza a restituição dos prejuízos suportados pela vítima.

Em outro precedente, envolvendo cliente idosa induzida a acreditar que conversava com seu gerente, o Tribunal reconheceu que operações completamente incompatíveis com décadas de histórico bancário deveriam ter sido detectadas pelos sistemas internos da instituição financeira.

Mais recentemente, o TRF da 3ª Região também confirmou condenação de Instituição Financeira ao reconhecer que sucessivos empréstimos e transferências decorrentes do golpe do falso gerente somente foram possíveis porque a instituição deixou de identificar movimentações manifestamente atípicas.

O foco da discussão judicial deixou de ser exclusivamente o comportamento da vítima. Hoje, analisa-se também a qualidade dos mecanismos de prevenção disponibilizados pela própria instituição financeira.

Em muitos processos, a discussão acaba sendo reduzida à conduta do correntista: se clicou em um link, se informou uma senha ou se autorizou determinada operação. Essa abordagem, entretanto, é insuficiente. Também é necessário investigar tecnicamente a atuação da instituição financeira: quais alertas internos foram gerados, quais mecanismos antifraude foram acionados, quais barreiras deixaram de funcionar, se houve validação reforçada para operações atípicas e por que movimentações completamente incompatíveis com o histórico do cliente conseguiram ser concluídas. A análise da responsabilidade deve alcançar não apenas o comportamento da vítima, mas também a efetividade dos controles de segurança implementados pelo banco.

Imagine a seguinte situação

Uma cliente realiza, há mais de quinze anos, apenas pagamentos de contas e pequenos PIX. Jamais movimentou valores elevados. Nunca contratou empréstimos pelo aplicativo. Nunca utilizou o cheque especial. Em um único dia, entretanto, seu histórico muda completamente.

São realizados sucessivos PIX, há contratação de crédito, utilização integral do limite disponível, transferências para múltiplos destinatários, resgates de investimentos, movimentações em sequência durante poucos minutos.

Independentemente da engenharia social utilizada pelos criminosos, uma pergunta permanece:Por que os sistemas antifraude não interromperam aquelas operações?

Essa é justamente uma das questões que a perícia e a assistência técnica podem ajudar a responder.

O que fazer imediatamente após perceber a fraude

O tempo faz diferença.

Ao perceber que foi vítima, interrompa imediatamente qualquer contato com o suposto gerente e utilize apenas os canais oficiais da instituição financeira.

Solicite o registro formal da fraude e peça a adoção do Mecanismo Especial de Devolução (MED) para as transferências via PIX. Embora o procedimento não garanta a recuperação integral dos valores, quanto mais rapidamente for acionado, maiores costumam ser as chances de bloqueio dos recursos ainda existentes na conta destinatária e nas demais para onde os fundos foram direcionados.

Registre boletim de ocorrência e guarde protocolos, extratos, prints de tela, gravações, mensagens e comprovantes.

Se houver suspeita de comprometimento do aparelho, evite formatá-lo imediatamente. A preservação do celular pode ser essencial para uma futura perícia digital e para a reconstrução técnica da fraude.

A tecnologia pode explicar aquilo que o extrato não mostra

Fraudes bancárias modernas não podem ser analisadas apenas pela ótica das transferências realizadas. É necessário compreender quem controlava o dispositivo, quais mecanismos de autenticação foram utilizados, quais vulnerabilidades foram exploradas e quais barreiras de segurança atuaram — ou deixaram de atuar — durante o evento.

Muitas vezes, a resposta não está apenas no extrato bancário. Está nos vestígios digitais deixados pelo ataque. É justamente por isso que a perícia digital vem assumindo papel cada vez mais relevante nas investigações e ações envolvendo golpes bancários. Ela transforma suspeitas em evidências técnicas.

A assistência técnica especializada e a computação forense desempenham papel decisivo nesse cenário. Por meio da análise de dispositivos, registros técnicos, logs de autenticação, históricos de acesso e demais evidências digitais, é possível reconstruir a linha do tempo dos acontecimentos e compreender como a fraude efetivamente ocorreu.

Essa análise permite avaliar diferentes hipóteses: se houve comprometimento do dispositivo do usuário, atuação de malware, acesso remoto, manipulação por engenharia social, falhas nos controles de segurança da instituição financeira ou, ainda, se os mecanismos de proteção foram adequadamente aplicados e a operação ocorreu dentro dos padrões esperados.

Em disputas judiciais envolvendo fraudes bancárias, tanto consumidores quanto instituições financeiras podem apresentar narrativas distintas sobre os fatos. A prova técnica independente tem justamente a função de superar interpretações subjetivas e fornecer elementos objetivos para esclarecer questões como: quem controlava a operação, quais autenticações foram realizadas, quais alertas de segurança foram gerados, quais mecanismos antifraude foram acionados e se os procedimentos adotados estavam em conformidade com as boas práticas de segurança da informação.

A perícia digital não parte de uma conclusão prévia. Seu objetivo é reconstruir tecnicamente os fatos, identificar evidências e responder, com base em dados, como a fraude ocorreu e quais fatores contribuíram para sua concretização.

A CyberExperts atua na investigação técnica de fraudes bancárias

Casos dessa natureza exigem muito mais do que a leitura de extratos bancários ou comprovantes de transferência. Frequentemente envolvem a análise forense de dispositivos móveis, a preservação de evidências digitais, a reconstrução cronológica dos fatos, a interpretação de registros técnicos e a avaliação dos mecanismos de segurança empregados pelas instituições financeiras. É justamente nesse contexto que a perícia digital e a assistência técnica especializada se tornam fundamentais para compreender a dinâmica da fraude e produzir uma prova técnica consistente.

A CyberExperts presta serviços de perícia digital, assistência técnica judicial e produção de pareceres especializados em casos de fraudes bancárias, golpes envolvendo falsa central de atendimento, falso gerente, invasão de dispositivos, malware bancário, criptoativos, contratos eletrônicos e outras controvérsias que dependem de prova técnica para sua correta compreensão.

Nossa atuação busca reconstruir tecnicamente os fatos, preservar evidências digitais e fornecer subsídios para que advogados, magistrados e tribunais possam compreender como a fraude realmente ocorreu.

Conclusões

A engenharia social continuará evoluindo. Os golpes mudarão de forma, explorarão novas tecnologias e utilizarão informações cada vez mais precisas para convencer suas vítimas. O desafio, entretanto, não pode ser resolvido simplesmente transferindo ao consumidor toda a responsabilidade por ataques que se tornam progressivamente mais sofisticados.

Em um ambiente financeiro altamente digitalizado, segurança da informação, monitoramento de operações atípicas e mecanismos eficazes de prevenção deixaram de ser diferenciais competitivos. Tornaram-se deveres jurídicos inerentes à atividade das instituições financeiras.

Da mesma forma, a produção da prova também precisa evoluir. Compreender tecnicamente como o ataque ocorreu, identificar as vulnerabilidades exploradas, analisar a atuação dos sistemas antifraude e reconstruir a dinâmica dos fatos pode ser tão importante quanto conhecer o direito aplicável. Em muitos casos, é justamente a prova técnica que faz a diferença entre uma simples alegação e o efetivo reconhecimento da responsabilidade.