As autoridades neerlandesas detiveram recentemente um jovem de 21 anos de Dordrecht acusado de vender acesso a JokerOTP, uma plataforma de phishing automatizada que facilitava a captura de senhas de um único uso (OTP) para usurpações de conta. Segundo a polícia, esta detenção é a terceira relacionada com uma investigação que durou vários anos e que já havia desarticulado em 2025 a operação de JokerOTP como um serviço criminoso comercializado a outros criminosos.
JokerOTP operava como um phishing-as-a-service (PhaaS): os responsáveis ofereciam licenças e acesso a um painel e bots que podiam automatizar chamadas e mensagens a vítimas para solicitar códigos temporários justo quando estes chegavam aos seus dispositivos. A mecânica era simples e eficaz: os atacantes usavam credenciais comprometidas para iniciar tentativas de acesso e, ao mesmo tempo, o bot chamava a vítima fazendo-se passar pela entidade legítima solicitando o código OTP. Pela coincidência temporal entre a entrega do código e a chamada fraudulenta, muitas pessoas acreditaram estar colaborando para proteger sua conta e entregaram o código sem suspeitar.
As consequências foram quantiosas. Em apenas alguns anos, a plataforma se liga a dezenas de milhares de incidentes que afetaram usuários em mais de uma dúzia de países e provocaram perdas financeiras estimadas em cerca de 10 milhões de dólares. Alguns dos serviços mais afetados incluíam plataformas de pagamento e comércio eletrônico amplamente utilizadas, como PayPal, Venmo, Coinbase, Amazon e Apple. Para sustentar estas afirmações e acompanhar a evolução do caso, consultar a nota da polícia neerlandesa sobre a detenção mais recente aqui, e uma cobertura jornalística com detalhes técnicos e cronologia em BleepingComputer.
A venda de acesso foi feita em canais de mensagens como o Telegram, onde se ofereciam chaves de licença para usar o serviço. Os compradores, que a polícia já identificou em várias ocasiões dentro dos Países Baixos, podiam configurar o software para capturar não apenas códigos de autenticação, mas também PIN, dados de cartão e outros dados sensíveis que permitissem apoderar-se de contas ou mover fundos para contas controladas pelos criminosos. Um relatório policial no Reino Unido que documenta prisões relacionadas e o alcance dos ataques também contribui para entender o impacto internacional da operação aqui.
Por que funcionava este bobo? Porque os códigos OTP são concebidos para expirar rapidamente e confirmar que quem inicia um início de sessão é o proprietário legítimo. Mas a sua força depende de como se protejam e da forma de entrega: os códigos enviados por SMS ou e-mail são mais vulneráveis a este tipo de engano social se adicionar um elemento humano ou automatizado, como uma chamada falsa, que convence a vítima de introduzir o código. A explicação da pesquisa e o testemunho da equipe que investiga o caso estão disponíveis no comunicado da polícia neerlandesa, onde se detalha como o bot contactava automaticamente as vítimas para pedir o código, provocando que muitas colaborassem acreditando ajudar a proteger sua conta ver comunicado.
Para além das detenções penais, as autoridades salientaram que aqueles que sofrem de tais fraudes não devem ser envergonhados: os ataques combinam engenharia social e sincronização técnica para induzir confiança e medo, criando uma sensação de urgência que não o julgamento. A polícia recomenda a revisão de sinais de fraude como pedidos inesperados de PIN ou senhas e a criação artificial de urgência, e lembra que existem ferramentas para verificar se seus dados foram expostos em lacunas conhecidas. Entre as ferramentas públicas mencionadas pelos pesquisadores estão Have I Been Pwned e o serviço neerlandês para verificar vazamentos CheckJeHack.
O que pode fazer um usuário para reduzir o risco? A recomendação mais sólida é optar por mecanismos de autenticação que sejam resistentes ao phishing: aplicações autenticadoras baseadas em TOTP têm melhor resistência que o SMS, mas o ideal são soluções de autenticação sem senha ou tokens hardware que implementem padrões como FIDO2. Os guias de organismos oficiais recordam que a autenticação multifator baseada em fatores verificáveis pelo servidor e livre de vetores de forwardable codes reduz muito o risco de um terceiro poder reutilizar um código interceptado. Para aprofundar as boas práticas técnicas, é conveniente rever as recomendações do NIST sobre autenticação (SP 800-63B) NIST SP 800-63B e as orientações da agência de cibersegurança americana sobre MFA CISA - Multi-Factor Authentication.
A pesquisa continua e, segundo a polícia, vários compradores do serviço JokerOTP nos Países Baixos foram identificados e processados em seu momento. Este caso lembra que os ciberatacantes não só criam ferramentas técnicas, como as comercializam e profissionalizam, o que torna imprescindível combinar a prevenção tecnológica com a alfabetização digital: saber reconhecer táticas de manipulação, não compartilhar códigos sob nenhuma circunstância e preferir métodos de autenticação resistentes à fraude.
No final, a melhor defesa não é apenas uma tecnologia concreta, mas uma mistura de controles técnicos adequados, vigilância das próprias exposições de dados e uma atitude crítica diante de chamadas e mensagens inesperadas que peçam informação sensível. A recente detenção em Dordrecht é uma amostra de que as forças da ordem podem seguir a pista das redes criminosas que monetizam estas vulnerabilidades, mas também um sinal para que usuários e empresas atualizem suas defesas e hábitos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...