Como estelionatários usam fintechs para roubar contas de jogadores em sites de apostas

Golpistas estão usando contas falsas criadas em fintechs para sacar dinheiro de apostas com CPF de terceiros — e ninguém está fiscalizando.

A nova face da fraude digital no Brasil une três ingredientes letais: vazamentos de dados, plataformas de apostas e fintechs operando via banking as a service. O resultado? Um modelo de roubo silencioso, difícil de rastrear e ainda fora do radar da regulação.

O golpe por dentro: quando a conta no cassino vira porta de entrada

Nos últimos meses, têm crescido os relatos de apostadores brasileiros que viram seus saldos desaparecerem de contas em sites de apostas — mesmo com senha trocada, autenticação de dois fatores ativada e e-mail verificado.

O responsável? Nem sempre é a plataforma, o bug ou o suporte.

Às vezes, é um terceiro com todos os dados em mãos. E com uma conta nova criada em seu nome, em outra empresa.

A engrenagem por trás desse tipo de ataque é engenhosa — e perigosa. Ela combina:

Vazamento de dados cadastrais de jogadores: nome completo, CPF, e-mail, telefone e, em alguns casos, extrato de movimentações.

Acesso não autorizado à conta de apostas: feito com login legítimo, sem disparar alertas automáticos do sistema.

Criação de uma conta falsa em uma fintech: geralmente aberta com dados vazados da vítima, por meio de um serviço de banking as a service.

Solicitação de saque da conta da bet para a nova conta criada: que, tecnicamente, está no nome da própria vítima.

O resultado final? O dinheiro sai da conta da plataforma de apostas e vai para uma conta nova, aberta em segundos — e controlada pelo estelionatário.

Como o “banking as a service” entra no jogo

O modelo de banking as a service (BaaS) permite que empresas sem estrutura bancária tradicional ofereçam contas, cartões, Pix e outros serviços financeiros com marca própria.

Na prática, a tecnologia é fornecida por uma instituição regulada (como um banco ou IP), e a empresa contratante usa a infraestrutura para lançar seu próprio app ou solução.

Esse modelo é, por definição, neutro — mas vem sendo explorado por criminosos.

Com ferramentas automatizadas e validações falhas, estelionatários conseguem criar dezenas de contas digitais em nome de terceiros, bastando para isso ter acesso a um CPF, uma selfie e dados básicos.

Muitos desses dados estão hoje disponíveis na internet em fóruns da dark web e grupos de Telegram, como já revelamos em matérias anteriores.

Em entrevista reservada ao portal, um especialista em antifraude do setor de pagamentos descreveu o modelo assim:

“O que antes exigia uma falsificação manual, hoje se resolve com um script. Eles abrem uma conta falsa, conectam o CPF ao Pix, fazem o saque do cassino e somem. O nome no Pix bate com o CPF da vítima, então nem a plataforma nem a fintech levantam suspeita de imediato.”

Da falha ao crime: as camadas de vulnerabilidade e as fintechs