Suas senhas e números de cartão de crédito nunca foram o boss final para os golpistas. O desafio real era conseguir esses dados em escala. Uma rede de cibercrime chinesa chamada Outsider Enterprise aparentemente "zerou" esse problema usando a própria Google's Gemini AI.
O Google abriu um processo em New York contra a Outsider Enterprise, acusando o grupo de montar uma operação de phishing tão automatizada e acessível que criminosos com zero habilidades técnicas poderiam rodar o esquema. Os números desse caso não são de iniciante.
Pague menos em seus jogos.
Economize até 80% em seus jogos
O que a Outsider Enterprise realmente construiu
Não estamos falando de alguns hackers criando e-mails fakes. A Outsider Enterprise operava como um business de software criminoso por franquia. O grupo criou uma plataforma de assinatura, também chamada Outsider, que custa a partir de $88 per week e entrega aos compradores um toolkit de phishing pronto para o uso. Mais de 290 templates de sites pré-configurados estão inclusos, cada um desenhado para personificar empresas reais: bancos, operadoras, agências governamentais, varejistas e, sim, o próprio Google.
Pelo menos 14 desses templates usam o Google branding diretamente, incluindo logos do YouTube, Google Pay e Google Play. O grupo usou a Google Cloud infrastructure para hospedar os sites fakes e o Google Drive para o farm de dados roubados. Chamar isso de audácia é pouco.
Em apenas uma janela de duas semanas em May 2026, a operação gerou 9,000 fake websites, one million fraudulent web domains e 2.5 million scam texts enviados para usuários de Android. Durante cinco meses, entre November 2025 e April 2026, o Google rastreou mais de 1.59 million URLs ligadas à atividade da Outsider Enterprise.
Como o Gemini entrou nessa build
Aqui está o ponto: o uso de AI não foi por acaso. A Outsider Enterprise usou o Gemini para fazer o grind de conteúdo de phishing em uma velocidade e volume impossíveis de sustentar manualmente. O grupo se coordenava pelo Telegram, compartilhando dicas e trocando kits de software que plugavam o output do Gemini diretamente em campanhas de scam em múltiplas plataformas.
Os sites fakes eram convincentes o suficiente para extrair várias formas de verificação das vítimas, incluindo códigos de SMS, PINs, confirmações de e-mail e autenticação via app. Esse bypass de verificação em múltiplas etapas foi o que permitiu que a operação driblasse as 3D Secure protections, a camada que normalmente bloqueia transações de cartão de crédito não autorizadas.
O FBI detalhou o dano total: desde July 2023, a plataforma da Outsider Enterprise facilitou o roubo de estimados 3.87 million credit cards e causou cerca de $1.9 billion in losses. Apenas uma versão anterior do software já estava ligada a pelo menos 36,000 stolen payment cards em 95 países.
A estrutura por trás do golpe
A Outsider Enterprise não é um grupo único. O processo do Google descreve cinco subgrupos distintos operando em paralelo:
- Developer Group: Constrói o software de phishing e os templates de sites.
- Data Broker Group: Faz o farm de listas de contatos de vítimas através de registros públicos, redes sociais e vazamentos de dados antigos.
- Spammer Group: Cuida da infraestrutura de mensagens de texto em massa.
- Theft Group: Monetiza os dados roubados e faz o money laundering dos fundos.
- Telegram Group: Gerencia os fóruns que conectam todos os anteriores e recruta novos membros.
O apelo da plataforma, como diz a queixa do Google, é que alguém com conhecimento técnico limitado pode pagar a taxa, acessar imediatamente outros especialistas via Telegram e rodar uma campanha completa de phishing minutos após o login.
O cenário geral para quem está online
Este processo surge em um momento onde os dados do próprio FBI são preocupantes. Cidadãos dos EUA perderam $21 billion para o cibercrime no ano passado. Desse total, $893.3 million estavam diretamente ligados a fraudes com AI, com 5,879 queixas registradas apenas na Índia, tornando-a a segunda maior fonte de denúncias globalmente.
Ferramentas de AI baixando a barreira de entrada para golpistas não é uma preocupação nova, mas o caso Outsider Enterprise dá um rosto concreto a isso. Um criminoso sem background em coding pode pagar menos de $100 por semana e começar imediatamente a rodar campanhas que burlam segurança de nível bancário. Essa é a mudança que este processo documenta.
A ação legal do Google é em parte sobre danos e em parte para estabelecer que o mau uso de seus produtos de AI tem consequências. O desfecho do caso em New York valerá a pena acompanhar, particularmente sobre como os tribunais tratarão provedores de AI quando suas ferramentas são usadas como arma contra usuários.
Por enquanto, a realidade prática é que os sites de phishing estão ficando cada vez mais difíceis de identificar. Se você quer ficar por dentro de como golpes e ameaças digitais se cruzam com gaming e plataformas web3, a seção de gaming guides cobre tópicos de segurança junto com tudo o que vale a pena saber. E se você está gastando tempo em games que misturam mecânicas de dinheiro real com gameplay, como o casino crawler que vendeu 1 milhão de cópias em uma semana, confira o Gamble With Your Friends before you buy guide para entender exatamente onde está entrando. Estar informado é melhor do que ser pego desprevenido, seja a ameaça in-game ou na sua inbox.
O caso do Google contra a Outsider Enterprise continua. Mais detalhes dos autos do tribunal devem surgir conforme o processo avança pelo sistema federal de New York.
