Golpe com clonagem de voz e deepfake: como identificar e se proteger
Resposta rápida
No golpe de clonagem de voz, criminosos usam inteligência artificial para imitar a voz de um familiar em uma ligação ou áudio, pedindo dinheiro urgente. Desconfie de qualquer pedido inesperado: encerre o contato e ligue de volta no número que você já conhece. Combine antes uma palavra de segurança com a família. Se já pagou via Pix, acione o Mecanismo Especial de Devolução (MED) pelo seu banco imediatamente.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›Ligação ou áudio com voz parecida de um parente relatando emergência (acidente, sequestro, prisão) e pressa extrema.
- ›Pedido para transferir dinheiro agora, geralmente por Pix, para uma conta que você não reconhece.
- ›Insistência para que você não desligue, não avise ninguém e mantenha sigilo absoluto.
- ›Pequenas falhas no áudio: tom monótono, pausas estranhas, respiração ausente ou ruído de fundo artificial.
- ›Justificativa para a voz soar diferente: choro, garganta inflamada, celular molhado ou trocado.
- ›Em vídeo, sincronia labial imperfeita, piscar de olhos raro e bordas borradas ao redor do rosto.
Passo a passo — o que fazer
- 1
1. Encerre o contato imediatamente
Desligue a ligação ou pare de responder ao áudio. A pressão pela urgência é a principal arma do golpe; ganhar tempo já interrompe o roteiro do criminoso.
- 2
2. Ligue de volta pelo número que você já tem
Telefone para o familiar usando o contato salvo na sua agenda, nunca um número novo informado na ligação suspeita. Confirme diretamente se a emergência é real.
- 3
3. Use a palavra de segurança da família
Peça a palavra-chave combinada previamente. Se a pessoa não souber responder, ou desviar do assunto, trate como tentativa de fraude.
- 4
4. Não transfira nenhum valor antes de confirmar
Nenhuma emergência legítima exige Pix imediato para uma conta desconhecida. Aguarde a confirmação por um canal independente antes de qualquer pagamento.
- 5
5. Acione o MED se já fez o Pix
Abra o aplicativo do seu banco e registre uma contestação pelo Mecanismo Especial de Devolução (MED), informando que foi vítima de fraude. Faça isso o quanto antes.
- 6
6. Registre boletim de ocorrência
Faça o B.O., presencial ou pela delegacia eletrônica do seu estado. O registro ajuda na investigação e pode ser exigido pelo banco na análise da devolução.
- 7
7. Reúna e preserve as provas
Salve o áudio ou vídeo, capturas de tela da conversa, número usado, horário e o comprovante do Pix com a chave e o nome do recebedor.
- 8
8. Avise a família e o seu banco
Alerte parentes que podem ser alvos seguintes e comunique a central do banco. Reforce a palavra de segurança e oriente os mais vulneráveis a fraudes.
O que NÃO fazer
- ✕Não transfira dinheiro sob pressão sem confirmar a identidade por um canal que você já conhece.
- ✕Não ligue para o número informado pelo golpista; use somente o contato salvo na sua agenda.
- ✕Não confie na voz só porque soa familiar: a IA reproduz timbre e entonação a partir de poucos segundos de áudio.
- ✕Não compartilhe códigos, senhas ou tokens recebidos por SMS durante a ligação suspeita.
- ✕Não apague o áudio, a conversa ou o comprovante; essas provas são essenciais para o MED e o B.O.
Como funciona o golpe da voz clonada
Ferramentas de inteligência artificial conseguem reproduzir a voz de uma pessoa a partir de poucos segundos de áudio, captados em vídeos de redes sociais, mensagens encaminhadas ou ligações anteriores. Com esse material, o criminoso gera frases novas que soam como o familiar, com timbre e entonação convincentes.
O roteiro segue um padrão de engenharia social: a vítima recebe uma ligação ou áudio relatando uma emergência grave, um acidente, uma prisão ou um suposto sequestro, sempre com pressa extrema e o pedido para não avisar mais ninguém. O objetivo é bloquear o raciocínio crítico e forçar uma decisão rápida, normalmente um Pix.
O CERT.br, centro nacional de tratamento de incidentes, classifica esse tipo de ataque como engenharia social: a fraude explora a confiança e a emoção, não uma falha técnica do seu celular. Por isso, nenhum antivírus impede a ligação; a defesa está em verificar a identidade antes de agir.
Versões mais elaboradas usam vídeo sintético (deepfake), em que o rosto e os lábios de alguém são animados para parecer uma chamada de vídeo real. A tecnologia ainda deixa pistas, como sincronia labial imperfeita e bordas borradas, mas a tendência é que esses sinais fiquem mais difíceis de notar.
A defesa mais eficaz: palavra de segurança na família
Combine com pais, filhos, cônjuge e pessoas próximas uma palavra ou frase de segurança, simples de lembrar e que ninguém de fora conheça. Em qualquer pedido de dinheiro ou emergência por telefone, essa palavra deve ser solicitada e respondida antes de qualquer transferência.
Reforce a regra de ouro com os familiares, especialmente idosos, que são alvos frequentes: diante de urgência e pedido de Pix, sempre desligar e ligar de volta no número conhecido. Evite também expor áudios e vídeos longos com a sua voz em perfis públicos, pois eles servem de matéria-prima para a clonagem.
Esse mesmo raciocínio protege empresas. Se a sua organização precisa estruturar a verificação de identidade e o monitoramento de ameaças, a Decripte oferece um plano gratuito de Gestão de Ameaças, com soluções para times de 1 a mais de 100.000 colaboradores. Fale com a Decripte em decripte.com.br e comece a mapear seus riscos.
Cuida da segurança de uma empresa?
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraQuando o golpe mira a empresa: fraude do CEO com voz e vídeo sintético
A mesma técnica usada contra famílias já atinge o ambiente corporativo na chamada fraude do CEO, uma variação do Business Email Compromise (BEC). Em vez de um parente, o criminoso imita a voz ou o rosto de um executivo, CEO ou CFO, em uma ligação ou videochamada, ordenando uma transferência urgente e confidencial.
O FBI, por meio do IC3 (Internet Crime Complaint Center), aponta o BEC como uma das fraudes de maior prejuízo financeiro acumulado nos Estados Unidos, e alerta para o uso crescente de áudio e vídeo gerados por IA nesses ataques. O padrão é o mesmo: autoridade aparente, urgência e quebra dos controles normais de aprovação.
A proteção passa por processos, não só por tecnologia. Toda solicitação de pagamento ou mudança de dados bancários deve exigir confirmação por um segundo canal independente e dupla aprovação acima de determinado valor, mesmo quando a ordem parece vir do topo da hierarquia. Voz e imagem deixaram de ser prova de identidade.
Como recuperar o dinheiro pelo MED
O Mecanismo Especial de Devolução (MED) é uma regra do Banco Central que permite contestar um Pix feito por fraude ou falha operacional. A solicitação é registrada pelo aplicativo ou central do seu banco, que aciona a instituição do recebedor para tentar bloquear e devolver os valores ainda disponíveis na conta de destino.
Aja com a maior rapidez possível: quanto antes a contestação é aberta, maior a chance de o dinheiro ainda estar na conta do golpista. Segundo as regras do Banco Central, a notificação pode ser feita em até 80 dias após a transação, mas a devolução depende de haver saldo a ser bloqueado.
Tenha em mãos o comprovante do Pix, a chave ou os dados do recebedor, o horário da transferência e o boletim de ocorrência. A devolução não é garantida, mas o registro alimenta os mecanismos antifraude do sistema e pode bloquear contas usadas por quadrilhas.
Se você ou um familiar foi vítima
Caia o golpe ou não, o estresse é real. O primeiro passo é não se culpar: esses ataques são construídos por especialistas em manipulação emocional e podem enganar qualquer pessoa, independentemente de idade ou escolaridade. Reconhecer rápido e agir já reduz o dano.
Depois de acionar o MED e registrar o B.O., monitore suas contas e troque senhas que possam ter sido expostas. Se houver tentativa de chantagem com áudios ou vídeos manipulados, não pague e procure orientação junto à delegacia especializada em crimes cibernéticos do seu estado.
Por fim, transforme o episódio em prevenção: defina a palavra de segurança em família, revise as configurações de privacidade das redes sociais e converse com os mais vulneráveis sobre o golpe. A conscientização compartilhada é a barreira que a tecnologia sozinha não constrói.
Termos importantes
- Deepfake
- Conteúdo de áudio ou vídeo sintético gerado por inteligência artificial que imita a voz, o rosto ou os gestos de uma pessoa real, usado para enganar a vítima sobre quem está do outro lado.
- MED (Mecanismo Especial de Devolução)
- Regra do Banco Central que permite à vítima de fraude ou falha operacional no Pix solicitar, pelo próprio banco, o bloqueio e a devolução dos valores que ainda estejam na conta de destino.
- Engenharia social
- Conjunto de técnicas de manipulação psicológica que exploram confiança, medo e urgência para induzir a vítima a entregar dinheiro, dados ou acessos, sem depender de falha técnica nos sistemas.
- Fraude do CEO / BEC
- Business Email Compromise: golpe corporativo em que o criminoso se passa por um executivo ou fornecedor, hoje também com voz e vídeo sintéticos, para ordenar transferências ou mudanças de dados bancários.
Perguntas frequentes
É possível clonar a voz de alguém de verdade?
Sim. Ferramentas de IA reproduzem timbre e entonação a partir de poucos segundos de áudio, obtidos em vídeos públicos, mensagens de voz ou ligações. Por isso, a voz familiar deixou de ser prova de identidade e a confirmação por outro canal é indispensável.
Como identificar uma ligação ou áudio falso?
Desconfie de urgência extrema, pedido de Pix para conta desconhecida e insistência em sigilo. No áudio, observe tom monótono, pausas estranhas e ausência de respiração. A prova definitiva é encerrar o contato e ligar de volta no número que você já conhece.
O que é a palavra de segurança da família?
É uma palavra ou frase combinada previamente entre parentes, que ninguém de fora conhece. Diante de qualquer pedido de dinheiro por telefone, ela deve ser solicitada e respondida corretamente antes de qualquer transferência. É a defesa mais simples e eficaz.
Já fiz o Pix para o golpista. Consigo recuperar o dinheiro?
Pode ser possível pelo MED, o Mecanismo Especial de Devolução do Banco Central. Abra a contestação pelo aplicativo do seu banco o mais rápido possível, pois a devolução depende de o valor ainda estar na conta de destino. Registre também o boletim de ocorrência.
Devo registrar boletim de ocorrência?
Sim. O B.O. pode ser feito presencialmente ou pela delegacia eletrônica do seu estado. Ele formaliza o crime, costuma ser exigido pelo banco na análise da devolução e contribui para investigações que podem bloquear contas usadas por quadrilhas.
Esse golpe também atinge empresas?
Sim. Na fraude do CEO, uma variação do BEC, criminosos imitam a voz ou o rosto de executivos em ligações e videochamadas para ordenar transferências urgentes. O FBI, via IC3, aponta o BEC como uma das fraudes de maior prejuízo financeiro acumulado.
Como a empresa pode se proteger da fraude do CEO?
Com processos, não apenas tecnologia: confirmação por segundo canal independente, dupla aprovação acima de certo valor e regras claras para mudança de dados bancários. A Decripte oferece plano gratuito de Gestão de Ameaças para times de 1 a mais de 100.000 colaboradores.
Um antivírus impede esse tipo de golpe?
Não. O ataque explora engenharia social, ou seja, a manipulação da pessoa, e não uma falha técnica do seu celular. A defesa está em verificar a identidade antes de agir, usar a palavra de segurança e desconfiar de qualquer urgência envolvendo dinheiro.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.
