O FBI, em colaboração com a Google e a empresa de cibersegurança Black Lotus Labs, desmantelou uma das maiores redes de phishing alguma vez documentadas. A operação, conhecida como Outsider Enterprise, estava ativa desde pelo menos julho de 2023, tinha origem chinesa, coordenava-se através do Telegram e usava inteligência artificial — incluindo a API do Google Gemini — para gerar código de phishing personalizado a uma escala industrial. Estima-se que a rede seja responsável pelo roubo de 3,87 milhões de cartões de crédito e por prejuízos de cerca de 1,9 mil milhões de dólares.
O que era a Outsider Enterprise
A Outsider Enterprise era uma plataforma de phishing-as-a-service (PhaaS) — ou seja, um serviço criminoso que vendia a outros atacantes todos os instrumentos necessários para lançar campanhas de fraude sem necessidade de competências técnicas avançadas. Através do Telegram, a rede distribuía kits de phishing que permitiam a operadores de nível inferior imitar marcas conhecidas — incluindo a própria Google — em mensagens SMS enviadas a utilizadores de smartphones.
A estrutura interna da organização dividia-se em quatro grupos com funções distintas: os programadores e suporte da plataforma de phishing e dos templates de sites falsos; os fornecedores de listas de alvos, compiladas a partir de registos públicos, redes sociais e fugas de dados; o grupo de “spam”, responsável pela infraestrutura de envio massivo; e os operadores que monetizavam as credenciais roubadas e lavavam os fundos obtidos.
IA ao serviço do crime: o papel do Google Gemini
Um dado particularmente relevante desta investigação é que membros da Outsider Enterprise usavam a API do Google Gemini para gerar código personalizado de phishing. Segundo documentos judiciais citados pelo The Hacker News, os operadores incentivavam-se mutuamente a usar o Gemini para criar código que era depois importado para o software da plataforma e convertido em páginas de fraude ativas. Este é um dos primeiros casos documentados de uso confirmado de um modelo de linguagem de grande escala de um fornecedor legítimo numa operação criminosa desta dimensão.
O diretor assistente da Divisão Cibernética do FBI, Brett Leatherman, resumiu a tendência de forma direta: “Os criminosos utilizam cada vez mais a IA para tornar fraudes como esta mais convincentes e mais difíceis de detetar.”
A escala da operação em números
- 9.000 sites falsos e 1,59 milhões de URLs fraudulentos identificados entre 14 de novembro de 2025 e 14 de abril de 2026;
- 2,5 milhões de SMS enviados a utilizadores Android em apenas duas semanas (18 de maio a 1 de junho de 2026) — mais de dois por minuto;
- 55.000 mensagens sinalizadas como spam pelos próprios utilizadores Android nesse mesmo período;
- 3,87 milhões de registos de cartões de crédito roubados desde julho de 2023;
- Prejuízos estimados em 1,9 mil milhões de dólares;
- Mensagens distribuídas através das redes das operadoras norte-americanas AT&T, T-Mobile e Verizon.
Como foi feito o desmantelamento
A operação de desmantelamento teve duas componentes distintas. Do lado das autoridades, o FBI lançou a Operação Riptide, uma iniciativa mais ampla de combate a infraestruturas de cibercrime, no âmbito da qual foi executada a Operação Ghost Hook especificamente contra a Outsider Enterprise. Esta componente incluiu a apreensão de vários domínios — que passaram a redirecionar para uma página do FBI — e a apreensão de cerca de 100.000 dólares em USDT das carteiras de pagamento da rede. O FBI recorreu ainda a um bot do Telegram da própria Outsider para identificar e rastrear a infraestrutura.
Do lado da Google, a empresa avançou com uma ação judicial civil nos Estados Unidos contra os responsáveis pela organização, com o objetivo de desmantelar a infraestrutura remanescente e estabelecer precedente legal. A Google anunciou também que está a colaborar com as operadoras AT&T, T-Mobile e Verizon para bloquear as mensagens fraudulentas antes de chegarem aos utilizadores, e que os seus sistemas de deteção intercetam mais de 10 mil milhões de mensagens fraudulentas por mês.
Porque é que isto importa para Portugal
A Outsider Enterprise operava em inglês e visava sobretudo utilizadores norte-americanos, mas o modelo de negócio — phishing-as-a-service com IA integrada, distribuído via Telegram — é replicável em qualquer língua e mercado. Em Portugal, as campanhas de smishing (phishing por SMS) que imitam os CTT, a Autoridade Tributária, operadoras de telecomunicações e instituições bancárias são recorrentes e seguem exatamente o mesmo padrão: mensagens com urgência artificial, link para site falso, captura de credenciais ou dados de cartão.
O caso ilustra também um risco sistémico que reguladores e legisladores europeus estão a começar a endereçar: o uso de APIs de modelos de linguagem legítimos para fins criminosos. O AI Act, em vigor na UE, e o Cyber Resilience Act, com obrigações plenas a partir de dezembro de 2027, colocam requisitos de segurança sobre os fornecedores de sistemas de IA — mas a questão de como impedir o abuso de APIs abertas por atores maliciosos permanece sem resposta regulatória clara.
Para os cidadãos portugueses, a regra prática mantém-se: nenhuma entidade legítima — banco, operadora, CTT, AT — pede credenciais ou dados de cartão por SMS. Qualquer mensagem com link e sentido de urgência deve ser tratada como suspeita, independentemente de quão convincente pareça o remetente.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pelo FBI, pela Google (blog oficial e ação judicial), pelo Bleeping Computer, pelo The Hacker News entre 13 e 15 de junho de 2026.