1. Phishing (e variações: Spear Phishing, Whaling, Clone Phishing, Phishing Enganoso)
Nome: Phishing (e variações: Spear Phishing, Whaling, Clone Phishing, Phishing Enganoso)
Grupo-alvo: Adultos em geral; Spear/Whaling → profissionais, executivos, funcionários com acesso sensível; Clone → contatos de quem recebeu a mensagem original.
Como acontece:
O atacante se passa por uma entidade confiável (banco, empresa) enviando e-mail ou mensagem com conteúdo urgente ou tentador. A vítima é induzida a clicar em um link que a leva a uma página falsa (quase idêntica à original) onde ela insere suas credenciais ou dados sensíveis, que são imediatamente capturados pelo fraudador. As variações (Spear, Whaling, Clone) usam conteúdo altamente personalizado para aumentar a credibilidade e atingir alvos específicos.
Prevenção: Verificar remetente real, passar o mouse sobre links, não inserir credenciais sem confirmar URL, usar autenticação de 2 fatores (2FA), treinar equipes sobre ataques direcionados.
2. Smishing (SMS Phishing)
Nome: Smishing
Grupo-alvo: Usuários de celular em geral, idosos e menos experientes são alvos comuns.
Como acontece:
O fraudador envia uma mensagem SMS urgente ou atrativa mensagem SMS urgente ou atrativa, fingindo ser um serviço legítimo (banco, entrega, etc.). O texto induz a vítima a clicar em um link malicioso (levando a um site falso ou download de malware) ou a ligar para um número onde dados pessoais e credenciais são solicitados e, em seguida, roubados.
Prevenção: Não clicar em links de SMS suspeitos; confirmar via app/contato oficial; bloquear remetentes; configurar autenticação adicional nas contas.
3. Vishing (Phishing por Voz)
Nome: Vishing
Grupo-alvo: Todos — especialmente idosos e funcionários de suporte/financeiro.
Como acontece:
O fraudador faz uma ligação telefônica passando-se por um representante confiável (banco, suporte técnico), usando engenharia social para criar urgência (ex.: "conta bloqueada"). A vítima é então persuadida a fornecer códigos, senhas ou a instalar um software de acesso remoto , permitindo que o golpista realize transações ou roube dados.
Prevenção: Não fornecer códigos/senhas por telefone; desligar e ligar no número oficial da instituição para confirmar; nunca permitir instalação de acesso remoto sem checagem.
4. Fraude de CEO / Fraude Empresarial por Engenharia Social
Nome: Fraude de CEO (Business Email Compromise)
Grupo-alvo: Empresas (contabilidade, financeira), funcionários com poder de movimentação financeira.
Como acontece:
O atacante se passa por um executivo de alto escalão (CEO, Diretor), frequentemente usando um e-mail falso ou comprometido após pesquisa prévia da estrutura da empresa. Ele envia uma ordem de pagamento urgente e confidencial a um funcionário do setor financeiro, que, acreditando estar seguindo uma instrução legítima, transfere grandes valores para contas controladas pelo criminoso.
Prevenção: Procedimentos de verificação para transferências (confirmação por telefone presencial), listas de contas aprovadas, dupla autorização.
5. Golpe da Falsa Investigação nas Agências / Falsa Central de Atendimento / Golpe do 0800
Nome: Falsa Investigação / Falsa Central / 0800 falso
Grupo-alvo: Consumidores em geral, idosos vulneráveis.
Como acontece:
O criminoso estabelece contato (por ligação, SMS ou e-mail), alegando que a vítima possui um problema urgente e grave (multa, processo, fraude) que exige regularização imediata. Sob pressão, a vítima é induzida a pagar um boleto falso, acessar um link ou fazer uma transferência para a conta do golpista, sob o pretexto de resolver a falsa situação.
Prevenção: Verificar diretamente com a agência/empresa por canais oficiais; não pagar sem confirmar; desconfiar de ameaças urgentes por canais não verificados.
6. Golpe do Falso Presente / Entregador Falso / Maquininha manipulada no delivery
Nome: Golpe do Falso Presente / Entregador falso / Maquininha quebrada
Grupo-alvo: Consumidores que compram online ou recebem entregas; públicos em áreas urbanas.
Como acontece:
O fraudador se apresenta como entregador e utiliza dois métodos principais:
- Aparece com um "presente" ou uma entrega com taxa urgente/pendente .
- Manipula a maquininha de cartão, ocultando o visor ou inserindo um valor muito superior ao da compra real, forçando a vítima a finalizar a transação sem conferência adequada.
O resultado é que o dinheiro é desviado ou a vítima paga um valor indevido, podendo também ter seu cartão clonado.
Prevenção: Conferir valores antes de autorizar pagamento; recusar transações em maquininhas suspeitas; pagar pelo app oficial do serviço sempre que possível.
7. Pharming (Envenenamento de DNS)
Nome: Pharming (DNS poisoning / envenenamento de cache DNS)
Grupo-alvo: Usuários que acessam sites sensíveis (bancos, sistemas corporativos) — todos.
Como acontece:
O fraudador compromete o servidor DNS ou o roteador (DNS poisoning), alterando o mapeamento de endereços. Dessa forma, quando a vítima digita a URL correta e legítima (ex: do seu banco) no navegador, ela é direcionada automaticamente para um site falso controlado pelo criminoso, onde suas credenciais e dados são capturados sem que ela perceba a fraude.
Prevenção: Manter roteadores atualizados, usar DNS de confiança (com validação), HSTS, monitoramento de certificados, 2FA.
8. Watering Hole
Nome: Watering Hole
Grupo-alvo: Profissionais de nichos específicos; funcionários de empresas alvo.
Como acontece:
O atacante identifica e compromete um site legítimo que é frequentado especificamente por seu público-alvo (ex.: um portal de notícias setorial). Em seguida, ele injeta um código malicioso nesse site. Quando a vítima acessa o portal, seu dispositivo é infectado automaticamente com malware, visando a coleta de credenciais ou a invasão da rede corporativa da vítima.
Prevenção: Atualizar navegadores, usar soluções EDR/antimalware, segmentar rede empresarial, monitorar sites de terceiros.
9. Cross-site Scripting (XSS)
Nome: Cross-site scripting (XSS)
Grupo-alvo: Usuários de sites vulneráveis; empresas que mantêm aplicações web.
Como acontece:
O atacante explora uma vulnerabilidade em um site (onde a entrada de dados do usuário não é validada corretamente) para injetar um script malicioso em uma página legítima. Quando outros visitantes acessam essa página, o script é executado em seus próprios navegadores, permitindo que o atacante roube cookies de sessão, execute ações em nome do usuário ou colete dados expostos.
Prevenção: Programação segura (escape/validate), Content Security Policy (CSP), atualizações e testes de segurança.
10. SQL Injection e outros ataques de injeção
Nome: SQL Injection (Injeção de scripts)
Grupo-alvo: Aplicações web e seus usuários; empresas com bancos de dados mal protegidos.
Como acontece:
O atacante explora uma vulnerabilidade na aplicação web que aceita entradas de dados sem validação adequada (sanitização). Ele insere comandos maliciosos (payloads) no campo de entrada, que são interpretados pelo banco de dados como parte da consulta SQL , permitindo ao criminoso , ou até mesmo obter controle do banco
Prevenção: Prepared statements/queries parametrizadas, validação de entrada, princípio do menor privilégio no BD.
11. Ataques de Força Bruta / Exploits
Nome: Força Bruta / Exploits
Grupo-alvo: Contas online com senhas fracas, sistemas vulneráveis.
Como acontece:
O atacante utiliza um software automatizado para tentar milhares de combinações de senhas em alta velocidade (Força Bruta), visando adivinhar credenciais fracas ou comuns. Alternativamente, ele pode usar um exploit para aproveitar uma vulnerabilidade conhecida aproveitar uma vulnerabilidade conhecida em um software desatualizado e, assim, obter acesso não autorizado à conta ou sistema.
Fim: Acesso à conta/sistema, movimentos laterais na rede.
Prevenção: Senhas fortes, bloqueio por tentativas, rate-limiting, WAF, manter sistemas atualizados.
12. DDoS (Negação de Serviço Distribuída)
Nome: DDoS
Grupo-alvo: Provedores de serviço, e-commerce, sites governamentais.
Como acontece:
O atacante utiliza uma rede de dispositivos comprometidos (botnet) para inundar um servidor ou rede-alvo com um volume massivo de requisições de tráfego simultâneas. Essa sobrecarga esgota os recursos do alvo e impede que usuários legítimos consigam acessar o serviço, tornando-o indisponível.
Prevenção: Proteções anti-DDoS, CDN, escalabilidade, monitoramento de tráfego e plan de resposta.
13. Manipulação de URL / Typosquatting / Homograph attacks
Nome: Manipulação de URL (typosquatting, homograph)
Grupo-alvo: Usuários de sites populares; compradores online.
Como acontece:
O fraudador registra e cria um site falso utilizando uma URL que é muito parecida com a de um site legítimo (ex: trocando 'o' por '0', ou usando caracteres de outros alfabetos). A vítima, ao digitar o endereço incorretamente ou clicar em um link malicioso, é direcionada para este site falsificado e insere suas credenciais ou dados de pagamento, que são imediatamente roubados ou desviados.
Prevenção: Conferir URLs, usar bookmarks, prestar atenção a caracteres estranhos, certificado TLS.
14. Golpes com Dropbox / Google Docs (Phishing via serviços de armazenamento)
Nome: Phishing via Google Docs / Dropbox (falsas telas de login)
Grupo-alvo: Usuários de armazenamento na nuvem; profissionais que compartilham documentos.
Como acontece:
O fraudador envia um link que parece levar a um documento compartilhado (via Google Docs ou Dropbox) e que parece vir de uma fonte confiável. Ao clicar, a vítima é levada a uma falsa tela de login que imita perfeitamente o serviço de nuvem, e, ao tentar acessar o arquivo, insere suas credenciais , que são roubadas e usadas para comprometer a conta na nuvem.
Prevenção: Confirmar remetente, checar URL, usar 2FA, validar via app oficial.
15. Fraude Contactless / Captura via aproximação
Nome: Fraude Contactless (proximidade)
Grupo-alvo: Usuários que usam cartões/contactless em locais públicos.
Como acontece:
O criminoso utiliza um dispositivo de leitura (maquininha) de forma dissimulada, aproximando-o de bolsas ou bolsos da vítima em locais movimentados. O objetivo é tentar realizar uma cobrança ou captura de dados de cartões contactless (por aproximação) que estão nas proximidades, efetuando pagamentos não autorizados sem que a vítima perceba a transação.
Prevenção: Cobrir cartão quando não usar, bloquear pagamentos sem confirmação, usar carteiras digitais que exigem autenticação.
16. Roubo/Clonagem de Contas de Redes Sociais / Aplicativos / Clonagem de WhatsApp
Nome: Roubo/clonagem de contas (inclui clonagem de WhatsApp)
Grupo-alvo: Usuários de redes sociais e aplicativos de mensagens.
Como acontece:
O fraudador consegue, por meio de phishing ou engenharia social , que a vítima compartilhe o código de verificação enviado pelo aplicativo. Com este código, ele ativa a conta em um novo dispositivo e assume o controle , passando a enviar mensagens urgentes de golpe para os contatos da vítima (ex: pedindo dinheiro emprestado) ou publicando conteúdo malicioso.
Prevenção: 2FA com app autenticador, não compartilhar códigos, proteger número (PIN com operadora), cuidado com links.
17. Sequestro da Linha Telefônica (SIM Swap)
Nome: SIM Swap (sequestro da linha)
Grupo-alvo: Usuários com contas financeiras vinculadas ao número; pessoas com alto perfil.
Como acontece:
O criminoso usa engenharia social ou fraude para convencer a operadora de telefonia a transferir o número de telefone da vítima para um novo chip (SIM Card) sob seu controle. Ao assumir a linha, ele passa a receber todos os códigos de verificação (2FA) e SMS de reset de senha destinados à vítima, usando-os para invadir e realizar fraudes financeiras em suas contas.
Prevenção: PIN/senha de conta com operadora, alertas de portabilidade, 2FA via app em vez de SMS.
18. Fraude de Pagamentos: Pix (variações)
Nome: Fraudes com Pix (Pix errado, Pix falso, Robô do Pix, Pix de volta)
Grupo-alvo: Vendedores em marketplaces, usuários que transferem com frequência.
Como acontece:
O fraudador engana a vítima enviando um comprovante de Pix falso para simular um pagamento, fazendo com que o vendedor libere a mercadoria sem ter recebido o dinheiro. Em outras variações, o criminoso usa engenharia social para convencer a vítima a devolver um Pix forjado como "errado" ou a fazer um pequeno depósito sob falsas promessas de retorno, resultando na perda do valor transferido.
Prevenção: Confirmar efetiva compensação na conta antes de liberar mercadoria; desconfiar de solicitações urgentes; checar extrato real.
19. Boleto Falso / Boleto adulterado
Nome: Boleto falso / adulterado
Grupo-alvo: Consumidores, empresas que pagam boletos.
Como acontece:
O fraudador intercepta a comunicação (e-mail) ou compromete um site para entregar à vítima um boleto legítimo com a linha digitável adulterada . A vítima realiza o pagamento sem checar o código ou o nome do beneficiário, e o dinheiro é direcionado para a conta do criminoso , sem que a dívida original seja quitada.
Prevenção: Conferir linha digitável e beneficiário, preferir débito automático em conta correta, validar via portal oficial.
20. Empréstimo Falso / Oferta de Crédito Fraudulenta
Nome: Empréstimo falso
Grupo-alvo: Pessoas endividadas ou buscando crédito rápido.
Como acontece:
O fraudador atrai vítimas com a promessa de um empréstimo ou crédito com condições excepcionalmente fáceis . Em seguida, ele exige que a vítima realize um depósito antecipado (taxa de cadastro, seguro, ou fiança) para "liberar" o valor. Após o pagamento, o crédito jamais é liberado e o fraudador desaparece com o dinheiro e os dados pessoais fornecidos.
Prevenção: Só contratar instituições reguladas; desconfiar de adiantamentos; checar reputação.
21. Fraudes com Cartões (clonagem, troca de cartão)
Nome: Fraudes de cartão (clonagem, troca física)
Grupo-alvo: Usuários que usam cartões em estabelecimentos físicos; caixas eletrônicos.
Como acontece:
O fraudador atua em dois cenários principais:
- Clonagem: Instala um skimmer (dispositivo de leitura) em caixas eletrônicos ou maquininhas e observa a digitação da senha , roubando os dados do cartão e a senha simultaneamente.
- Troca Física: Utiliza a distração da vítima em um estabelecimento para rapidamente substituir seu cartão verdadeiro por um falso .
Em ambos os casos, os dados ou o cartão físico são usados para realizar compras e débitos indevidos .
Prevenção: Cobrir teclado, usar bancos com token/biometria, checar faturas, evitar emprestar cartão.
22. Golpe do Link Falso em Ofertas / Falso Leilão / Compras Online Falsas
Nome: Link falso / loja falsa / leilão falso
Grupo-alvo: Compradores online, público em busca de promoções.
Como acontece:
O fraudador cria um site ou loja online completamente falsa , muitas vezes com promoções irresistíveis, e a divulga através de anúncios ou links maliciosos em redes sociais. A vítima, buscando a oferta, realiza o pagamento pelo produto inexistente (geralmente via Pix ou boleto) ou insere seus dados de cartão no site falso, perdendo o dinheiro e expondo suas informações.
Prevenção: Comprar em sites com reputação, conferir CNPJ/contato, desconfiar de preços muito abaixo do mercado, usar meios de pagamento seguros.
23. Golpe do Resgate de Pontos / Promoções Falsas
Nome: Resgate de pontos / Promoções falsas
Grupo-alvo: Clientes de programas de fidelidade; usuários que resgatam pontos.
Como acontece:
O fraudador envia uma mensagem urgente ou atrativa (e-mail/SMS) com um link para o resgate de pontos de fidelidade ou prêmios exclusivos. A vítima é direcionada a um site falso que imita o programa de recompensas e, ao tentar o resgate, insere suas credenciais , que são roubadas, resultando no comprometimento da conta e perda dos pontos.
Prevenção: Acessar programas apenas por site/app oficial; checar comunicações oficiais.
24. Roubo de Identidade (Identity Theft)
Nome: Roubo de Identidade
Grupo-alvo: Indivíduos cujos dados pessoais (CPF, RG, nascimento) estão disponíveis ou foram vazados.
Como acontece:
O criminoso coleta dados pessoais sensíveis da vítima (como CPF, RG e data de nascimento) através de phishing ou de grandes vazamentos de dados. Em seguida, ele utiliza esses dados para se passar pela vítima em interações financeiras, abrindo contas, solicitando empréstimos, cartões de crédito ou realizando compras e serviços em nome dela, gerando dívidas e prejuízos para a pessoa real.
Prevenção: Monitorar CPF, alertas de fraude, não compartilhar dados, revisar extratos e SPC/Serasa.
25. Conta Emprestada (uso de contas de terceiros em golpes)
Nome: Conta emprestada / alugada (para lavagem e fraudes)
Grupo-alvo: Pessoas com contas ou documentos “facilitados” por ganhos rápidos (geralmente vulneráveis).
Como acontece:
O criminoso usa ofertas de dinheiro fácil ou engenharia social para persuadir uma pessoa, geralmente vulnerável, a abrir uma conta bancária ou emprestar uma conta existente em troca de um pagamento. Essa conta é então utilizada para receber e movimentar fundos ilícitos (dinheiro de golpes ou lavagem), transferindo a responsabilidade legal e financeira das fraudes para o titular da conta.
Prevenção: Não emprestar contas; informar-se sobre riscos legais; denunciar propostas.
26. Obtenção de Dados de Celular Roubado / Dispositivo furtado
Nome: Acesso via celular roubado/furtado
Grupo-alvo: Usuários que perdem dispositivos sem proteção.
Como acontece:
O criminoso rouba um dispositivo móvel que está sem um bloqueio de tela forte ou com pouca proteção. Ele então acessa os aplicativos e mensagens do aparelho, aproveitando o fato de o celular ser o principal receptor de códigos de verificação via SMS, para resetar senhas e invadir contas bancárias e de redes sociais da vítima, realizando fraudes ou vazando dados.
Fim: Fraudes, clonagem de contas, vazamento de dados.
Prevenção: Bloqueio por senha/biometria, criptografia, backups, localizar/apagar remoto, autenticação por app.
27. Comprometimento de Assinatura Eletrônica / Token
Nome: Comprometimento de assinatura eletrônica / token
Grupo-alvo: Usuários e empresas que assinam documentos eletronicamente.
Como acontece:
O fraudador obtém acesso não autorizado às credenciais (login e senha) ou ao dispositivo físico/virtual (token) usado pela vítima para realizar assinaturas eletrônicas (geralmente via phishing). Com o acesso, o criminoso assina documentos, contratos ou autoriza transações em nome da vítima ou da empresa, gerando obrigações financeiras e legais indevidas.
Prevenção: Proteger credenciais, usar certificados seguros, políticas de acesso, logs de auditoria.
28. Chamadas Falsas / Spoofing Telefônico
Nome: Spoofing (número falso) / chamadas falsas
Grupo-alvo: Usuários que atendem ligações de instituições.
Como acontece:
O fraudador utiliza a técnica de Spoofing para falsificar o número de telefone de origem , fazendo com que a chamada pareça vir de uma instituição legítima (banco, operadora) no identificador de chamadas da vítima. Usando essa credibilidade falsa, ele emprega engenharia social para persuadir a vítima a fornecer dados sensíveis, códigos de acesso ou realizar transferências de dinheiro, que são desviados para o criminoso.
Prevenção: Desconfiar de ligações solicitando dados; confirmar via canais oficiais.
29. Vazamento de Dados e Divulgação sem Consentimento (Lei Carolina Dieckmann)
Nome: Vazamento de dados / divulgação indevida
Grupo-alvo: Indivíduos e empresas cujos dados estão armazenados em serviços comprometidos.
Como acontece:
Ocorre quando dados armazenados por uma empresa ou serviço são expostos publicamente ou acessados por criminosos devido a um ataque cibernético (invasão de sistemas) ou falha humana. Os dados vazados (pessoais, financeiros ou confidenciais) são então vendidos, usados para extorsão ou aplicados em ataques de Roubo de Identidade e phishing contra as vítimas afetadas.
Prevenção: Políticas de privacidade, proteção de dados (LGPD), backups, criptografia, resposta a incidentes.
30. Falsificação de Dados Eletrônicos / Crimes Cibernéticos (abrangente)
Nome: Falsificação de dados eletrônicos
Grupo-alvo: Sistemas jurídicos, empresas, operações financeiras.
Como acontece:
Ocorre quando um criminoso altera ou fabrica informações em formato digital (como registros de transações, logs de sistema ou documentos eletrônicos) de forma ilícita e sem autorização. Esses dados falsificados são então utilizados para cometer fraudes legais ou financeiras , como manipular contratos, processos judiciais ou registros corporativos.
Prevenção: Assinatura digital robusta, validação de documentos, cadeias de custódia digitais.
31. Ameaças de IA Generativa (Deepfakes, Engenharia Social personalizada)
Nome: Deepfakes / IA generativa usada em golpes
Grupo-alvo: Público em geral; alvos de alto perfil (executivos, políticos).
Como acontece:
O fraudador utiliza ferramentas de Inteligência Artificial (IA) para criar áudios (voice cloning) ou vídeos (deepfakes) altamente realistas , simulando a voz ou a imagem de uma pessoa confiável (como um CEO ou familiar). Essa mídia falsa é então usada para enganar a vítima (ex: solicitando transferências de dinheiro urgentes ou autorizando ações financeiras) através de uma engenharia social ultraconvincente.
Prevenção: Verificação multifator, confirmar pedidos sensíveis por múltiplos canais, checagem técnica de mídia (metadados), treinamento.
32. Tailgating (Variação Digital / Social)
Nome: Tailgating (físico e variação digital)
Grupo-alvo: Empresas com acesso restrito; funcionários.
Como acontece:
No cenário físico, uma pessoa não autorizada ganha acesso a uma área restrita seguindo de perto um funcionário autorizado logo após ele passar pelo controle de segurança (piggybacking). Na variação digital , o atacante utiliza credenciais roubadas (ou ganhas por engenharia social) para "seguir" o acesso de um usuário legítimo a um sistema ou rede protegida, burlando mecanismos de segurança que dependem de verificação única na entrada.
Prevenção: Controle de acesso físico, cultura de não permitir entrada de estranhos, autenticação forte.
33. Fraudes no Mercado de Criptomoedas e Câmbio
Nome: Fraude em cripto / câmbio (scams, exchanges falsas, pumps & dumps)
Grupo-alvo: Investidores iniciantes e experientes; pessoas atraídas por lucro rápido.
Como acontece:
O fraudador atrai vítimas com a promessa de altos lucros em investimentos de criptomoedas ou câmbio, frequentemente utilizando uma plataforma ou exchange falsa . A vítima é persuadida a depositar fundos nessas plataformas ou a participar de esquemas de pirâmide (pump & dump) , onde os fundos são bloqueados ou simplesmente roubados quando o golpista encerra a operação.
Prevenção: Verificar regulamentação, usar exchanges conhecidas, desconfiar de garantias de lucro, estudar o mercado.
34. Golpe do Boleto / Cobranças Indevidas em Nome da Anatel e Operadoras
Nome: Cobranças falsas em nome de Anatel/operadoras
Grupo-alvo: Assinantes de telecom, consumidores.
Como acontece:
O fraudador envia um documento de cobrança (boleto ou link de pagamento) que simula uma multa, taxa ou dívida urgente em nome da Anatel ou de uma grande operadora de telecomunicações. A vítima, temendo a suspensão de seu serviço ou a imposição de uma penalidade, realiza o pagamento sem verificar o beneficiário real, transferindo o dinheiro diretamente para a conta do criminoso.
Prevenção: Confirmar por canais oficiais, não pagar boletos sem checar beneficiário.
35. Golpe da Conta Emprestada / Lavagem via Terceiros
Nome: Conta emprestada para lavagem
Grupo-alvo: Pessoas em situação financeira vulnerável que “emprestam” conta.
Como acontece:
O fraudador atrai indivíduos, geralmente vulneráveis, com a promessa de dinheiro fácil para emprestar ou alugar suas contas bancárias . Essas contas são usadas para receber e movimentar fundos ilícitos (dinheiro de outros golpes ou lavagem), protegendo o criminoso e, consequentemente, tornando o titular da conta o responsável legal pelas transações fraudulentas.
Prevenção: Nunca emprestar conta; denunciar ofertas.
