Segurança Digital · Golpe

Golpe com clonagem de voz e deepfake: como identificar e se proteger

Resposta rápida

No golpe de clonagem de voz, criminosos usam inteligência artificial para imitar a voz de um familiar em uma ligação ou áudio, pedindo dinheiro urgente. Desconfie de qualquer pedido inesperado: encerre o contato e ligue de volta no número que você já conhece. Combine antes uma palavra de segurança com a família. Se já pagou via Pix, acione o Mecanismo Especial de Devolução (MED) pelo seu banco imediatamente.

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.

Sinais de alerta

  • Ligação ou áudio com voz parecida de um parente relatando emergência (acidente, sequestro, prisão) e pressa extrema.
  • Pedido para transferir dinheiro agora, geralmente por Pix, para uma conta que você não reconhece.
  • Insistência para que você não desligue, não avise ninguém e mantenha sigilo absoluto.
  • Pequenas falhas no áudio: tom monótono, pausas estranhas, respiração ausente ou ruído de fundo artificial.
  • Justificativa para a voz soar diferente: choro, garganta inflamada, celular molhado ou trocado.
  • Em vídeo, sincronia labial imperfeita, piscar de olhos raro e bordas borradas ao redor do rosto.

Passo a passo — o que fazer

  1. 1

    1. Encerre o contato imediatamente

    Desligue a ligação ou pare de responder ao áudio. A pressão pela urgência é a principal arma do golpe; ganhar tempo já interrompe o roteiro do criminoso.

  2. 2

    2. Ligue de volta pelo número que você já tem

    Telefone para o familiar usando o contato salvo na sua agenda, nunca um número novo informado na ligação suspeita. Confirme diretamente se a emergência é real.

  3. 3

    3. Use a palavra de segurança da família

    Peça a palavra-chave combinada previamente. Se a pessoa não souber responder, ou desviar do assunto, trate como tentativa de fraude.

  4. 4

    4. Não transfira nenhum valor antes de confirmar

    Nenhuma emergência legítima exige Pix imediato para uma conta desconhecida. Aguarde a confirmação por um canal independente antes de qualquer pagamento.

  5. 5

    5. Acione o MED se já fez o Pix

    Abra o aplicativo do seu banco e registre uma contestação pelo Mecanismo Especial de Devolução (MED), informando que foi vítima de fraude. Faça isso o quanto antes.

  6. 6

    6. Registre boletim de ocorrência

    Faça o B.O., presencial ou pela delegacia eletrônica do seu estado. O registro ajuda na investigação e pode ser exigido pelo banco na análise da devolução.

  7. 7

    7. Reúna e preserve as provas

    Salve o áudio ou vídeo, capturas de tela da conversa, número usado, horário e o comprovante do Pix com a chave e o nome do recebedor.

  8. 8

    8. Avise a família e o seu banco

    Alerte parentes que podem ser alvos seguintes e comunique a central do banco. Reforce a palavra de segurança e oriente os mais vulneráveis a fraudes.

O que NÃO fazer

  • Não transfira dinheiro sob pressão sem confirmar a identidade por um canal que você já conhece.
  • Não ligue para o número informado pelo golpista; use somente o contato salvo na sua agenda.
  • Não confie na voz só porque soa familiar: a IA reproduz timbre e entonação a partir de poucos segundos de áudio.
  • Não compartilhe códigos, senhas ou tokens recebidos por SMS durante a ligação suspeita.
  • Não apague o áudio, a conversa ou o comprovante; essas provas são essenciais para o MED e o B.O.

Como funciona o golpe da voz clonada

Ferramentas de inteligência artificial conseguem reproduzir a voz de uma pessoa a partir de poucos segundos de áudio, captados em vídeos de redes sociais, mensagens encaminhadas ou ligações anteriores. Com esse material, o criminoso gera frases novas que soam como o familiar, com timbre e entonação convincentes.

O roteiro segue um padrão de engenharia social: a vítima recebe uma ligação ou áudio relatando uma emergência grave, um acidente, uma prisão ou um suposto sequestro, sempre com pressa extrema e o pedido para não avisar mais ninguém. O objetivo é bloquear o raciocínio crítico e forçar uma decisão rápida, normalmente um Pix.

O CERT.br, centro nacional de tratamento de incidentes, classifica esse tipo de ataque como engenharia social: a fraude explora a confiança e a emoção, não uma falha técnica do seu celular. Por isso, nenhum antivírus impede a ligação; a defesa está em verificar a identidade antes de agir.

Versões mais elaboradas usam vídeo sintético (deepfake), em que o rosto e os lábios de alguém são animados para parecer uma chamada de vídeo real. A tecnologia ainda deixa pistas, como sincronia labial imperfeita e bordas borradas, mas a tendência é que esses sinais fiquem mais difíceis de notar.

A defesa mais eficaz: palavra de segurança na família

Combine com pais, filhos, cônjuge e pessoas próximas uma palavra ou frase de segurança, simples de lembrar e que ninguém de fora conheça. Em qualquer pedido de dinheiro ou emergência por telefone, essa palavra deve ser solicitada e respondida antes de qualquer transferência.

Reforce a regra de ouro com os familiares, especialmente idosos, que são alvos frequentes: diante de urgência e pedido de Pix, sempre desligar e ligar de volta no número conhecido. Evite também expor áudios e vídeos longos com a sua voz em perfis públicos, pois eles servem de matéria-prima para a clonagem.

Esse mesmo raciocínio protege empresas. Se a sua organização precisa estruturar a verificação de identidade e o monitoramento de ameaças, a Decripte oferece um plano gratuito de Gestão de Ameaças, com soluções para times de 1 a mais de 100.000 colaboradores. Fale com a Decripte em decripte.com.br e comece a mapear seus riscos.

Cuida da segurança de uma empresa?

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

Quando o golpe mira a empresa: fraude do CEO com voz e vídeo sintético

A mesma técnica usada contra famílias já atinge o ambiente corporativo na chamada fraude do CEO, uma variação do Business Email Compromise (BEC). Em vez de um parente, o criminoso imita a voz ou o rosto de um executivo, CEO ou CFO, em uma ligação ou videochamada, ordenando uma transferência urgente e confidencial.

O FBI, por meio do IC3 (Internet Crime Complaint Center), aponta o BEC como uma das fraudes de maior prejuízo financeiro acumulado nos Estados Unidos, e alerta para o uso crescente de áudio e vídeo gerados por IA nesses ataques. O padrão é o mesmo: autoridade aparente, urgência e quebra dos controles normais de aprovação.

A proteção passa por processos, não só por tecnologia. Toda solicitação de pagamento ou mudança de dados bancários deve exigir confirmação por um segundo canal independente e dupla aprovação acima de determinado valor, mesmo quando a ordem parece vir do topo da hierarquia. Voz e imagem deixaram de ser prova de identidade.

Como recuperar o dinheiro pelo MED

O Mecanismo Especial de Devolução (MED) é uma regra do Banco Central que permite contestar um Pix feito por fraude ou falha operacional. A solicitação é registrada pelo aplicativo ou central do seu banco, que aciona a instituição do recebedor para tentar bloquear e devolver os valores ainda disponíveis na conta de destino.

Aja com a maior rapidez possível: quanto antes a contestação é aberta, maior a chance de o dinheiro ainda estar na conta do golpista. Segundo as regras do Banco Central, a notificação pode ser feita em até 80 dias após a transação, mas a devolução depende de haver saldo a ser bloqueado.

Tenha em mãos o comprovante do Pix, a chave ou os dados do recebedor, o horário da transferência e o boletim de ocorrência. A devolução não é garantida, mas o registro alimenta os mecanismos antifraude do sistema e pode bloquear contas usadas por quadrilhas.

Se você ou um familiar foi vítima

Caia o golpe ou não, o estresse é real. O primeiro passo é não se culpar: esses ataques são construídos por especialistas em manipulação emocional e podem enganar qualquer pessoa, independentemente de idade ou escolaridade. Reconhecer rápido e agir já reduz o dano.

Depois de acionar o MED e registrar o B.O., monitore suas contas e troque senhas que possam ter sido expostas. Se houver tentativa de chantagem com áudios ou vídeos manipulados, não pague e procure orientação junto à delegacia especializada em crimes cibernéticos do seu estado.

Por fim, transforme o episódio em prevenção: defina a palavra de segurança em família, revise as configurações de privacidade das redes sociais e converse com os mais vulneráveis sobre o golpe. A conscientização compartilhada é a barreira que a tecnologia sozinha não constrói.

Termos importantes

Deepfake
Conteúdo de áudio ou vídeo sintético gerado por inteligência artificial que imita a voz, o rosto ou os gestos de uma pessoa real, usado para enganar a vítima sobre quem está do outro lado.
MED (Mecanismo Especial de Devolução)
Regra do Banco Central que permite à vítima de fraude ou falha operacional no Pix solicitar, pelo próprio banco, o bloqueio e a devolução dos valores que ainda estejam na conta de destino.
Engenharia social
Conjunto de técnicas de manipulação psicológica que exploram confiança, medo e urgência para induzir a vítima a entregar dinheiro, dados ou acessos, sem depender de falha técnica nos sistemas.
Fraude do CEO / BEC
Business Email Compromise: golpe corporativo em que o criminoso se passa por um executivo ou fornecedor, hoje também com voz e vídeo sintéticos, para ordenar transferências ou mudanças de dados bancários.

Perguntas frequentes

É possível clonar a voz de alguém de verdade?

Sim. Ferramentas de IA reproduzem timbre e entonação a partir de poucos segundos de áudio, obtidos em vídeos públicos, mensagens de voz ou ligações. Por isso, a voz familiar deixou de ser prova de identidade e a confirmação por outro canal é indispensável.

Como identificar uma ligação ou áudio falso?

Desconfie de urgência extrema, pedido de Pix para conta desconhecida e insistência em sigilo. No áudio, observe tom monótono, pausas estranhas e ausência de respiração. A prova definitiva é encerrar o contato e ligar de volta no número que você já conhece.

O que é a palavra de segurança da família?

É uma palavra ou frase combinada previamente entre parentes, que ninguém de fora conhece. Diante de qualquer pedido de dinheiro por telefone, ela deve ser solicitada e respondida corretamente antes de qualquer transferência. É a defesa mais simples e eficaz.

Já fiz o Pix para o golpista. Consigo recuperar o dinheiro?

Pode ser possível pelo MED, o Mecanismo Especial de Devolução do Banco Central. Abra a contestação pelo aplicativo do seu banco o mais rápido possível, pois a devolução depende de o valor ainda estar na conta de destino. Registre também o boletim de ocorrência.

Devo registrar boletim de ocorrência?

Sim. O B.O. pode ser feito presencialmente ou pela delegacia eletrônica do seu estado. Ele formaliza o crime, costuma ser exigido pelo banco na análise da devolução e contribui para investigações que podem bloquear contas usadas por quadrilhas.

Esse golpe também atinge empresas?

Sim. Na fraude do CEO, uma variação do BEC, criminosos imitam a voz ou o rosto de executivos em ligações e videochamadas para ordenar transferências urgentes. O FBI, via IC3, aponta o BEC como uma das fraudes de maior prejuízo financeiro acumulado.

Como a empresa pode se proteger da fraude do CEO?

Com processos, não apenas tecnologia: confirmação por segundo canal independente, dupla aprovação acima de certo valor e regras claras para mudança de dados bancários. A Decripte oferece plano gratuito de Gestão de Ameaças para times de 1 a mais de 100.000 colaboradores.

Um antivírus impede esse tipo de golpe?

Não. O ataque explora engenharia social, ou seja, a manipulação da pessoa, e não uma falha técnica do seu celular. A defesa está em verificar a identidade antes de agir, usar a palavra de segurança e desconfiar de qualquer urgência envolvendo dinheiro.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.