MikroTik: fraude com “caixinha” vira operação organizada no Brasil

Desde 2025, a plataforma de monitoramento Vydar, da empresa brasileira ZenoX, registra um aumento expressivo em mensagens relacionadas ao recrutamento de funcionários internos de empresas para a execução de fraudes com comprometimento físico de infraestrutura.

O padrão, antes associado a operações isoladas e de menor escala, migrou para um modelo organizado. Agora, ele conta com protocolos padronizados, equipes especializadas por função e valores de operação que chegam à casa de centenas de milhões de reais por evento.

30 grupos no Telegram fazem o recrutamento

O gatilho para a investigação foi a identificação de uma publicação em um grupo de Telegram com aproximadamente 8 mil membros, na qual um agente criminoso convocava funcionários de instituições financeiras e varejistas. Os interessados deveriam a instalar dispositivos físicos em redes internas em troca de dinheiro.

A chamada utilizava o termo "plugar caixinha", expressão consolidada no ecossistema criminoso brasileiro para designar a instalação de hardware de interceptação de rede em ambientes corporativos.

O Telegram tornou-se o principal canal de recrutamento e operação do ecossistema criminoso focado em fraudes corporativas no Brasil. Grupos com milhares de membros funcionam como marketplaces abertos onde são negociados credenciais bancárias, dados de clientes, serviços de lavagem e, crescentemente, o recrutamento de insiders com acesso físico a redes corporativas.

Ao longo de oito meses de monitoramento, a  ZenoX indexou centenas de mensagens únicas relacionadas a esse tipo de recrutamento, distribuídas por mais de 30 grupos distintos.

A análise do volume e da linguagem evidencia que os recrutadores não atuam de forma isolada. Eles publicam simultaneamente em múltiplos grupos, utilizam linguagem padronizada e possuem respostas preparadas para objeções comuns, indicando treinamento e integração a organizações maiores.

Entre os exemplos identificados durante o monitoramento estão publicações como:

• "Preciso de funcionário de banco ou financeira pra plugar caixinha. Pago bem, você nem precisa aparecer. Só precisa instalar e pronto. Me chama no privado quem tiver interesse, qualquer banco serve. Pago a vista"
•  "PRECISO DE VPN — PAGO 300K NA FRENTE. OU ME MANDA A MATRÍCULA E SENHA E MFA QUE SUBO UMA AQUI DA EMPRESA."

A lógica do recrutamento é simples e financeiramente atraente para o alvo, uma vez que o funcionário não precisa entender de tecnologia, não precisa participar da operação e pode ser remunerado com valores fixos elevados ou com percentual sobre o montante extraído.

O perfil dos alvos não é aleatório. Na verdade, reflete critérios objetivos como volume financeiro movimentado, grau de digitalização das redes internas e facilidade de acesso físico via terceirizados. 

Grupo tem alvos predefinidos

Com base no monitoramento da ZenoX, os setores mais mencionados nos grupos criminosos são bancos e instituições financeiras, que lideram as menções. Nesse contexto, o interesse é centrado em acesso à rede interna, credenciais de gerentes e acesso a caixas eletrônicos.

Varejistas de grande porte aparecem como segundo alvo mais frequente, especialmente por conta da alta rotatividade de funcionários e do acesso a terminais de pagamento. Lotéricas e correspondentes bancários são alvos estratégicos por operarem sistemas bancários completos com menor estrutura de TI.

Empresas de manutenção e TI terceirizadas são alvos mais sensíveis, uma vez que seus funcionários já possuem acesso físico legitimado às instalações, funcionando como vetor de entrada ao ambiente-alvo real.

O núcleo técnico do golpe é um roteador compacto, identificado nas investigações como dispositivo MikroTik. Ele é alimentado por um carregador portátil, e em algumas configurações, o dispositivo inclui adaptador 5G para comunicação independente da rede do alvo.

Uma vez instalado, ele estabelece um canal de acesso remoto monitorado em tempo real pelos operadores externos. Para evitar detecção em inspeções físicas, o dispositivo frequentemente recebe uma etiqueta patrimonial falsa, com o logo da empresa e número de registro falso.

Quatro passos para o plano perfeito

A operação se divide em quatro fases. Na primeira, o recrutador identifica funcionários ou terceirizados via grupos públicos de Telegram.

O contato inicial é informal e a proposta inclui duas modalidades: valor fixo pela instalação, ou participação percentual no montante extraído, que em operações de maior escala pode representar dezenas de milhões de reais para o insider.

Na segunda fase, antes de qualquer encontro presencial, o candidato é solicitado a enviar um vídeo comprovando que está no ambiente de trabalho, sem necessidade de expor rosto ou localização. Esse protocolo protege a organização criminosa de golpes aplicados por falsos candidatos.

Após a verificação, é agendado um encontro no qual o dispositivo é entregue com instruções detalhadas. Um membro do grupo permanece junto ao funcionário durante toda a operação.

Na terceira fase, o insider instala o dispositivo em um ponto de rede acessível. A equipe externa, hospedada em imóvel alugado ou hotel no mesmo bairro da unidade-alvo, monitora o sinal em tempo real.

O pagamento ao insider ocorre somente após a confirmação do sinal ativo. Este ponto revela uma vulnerabilidade operacional, já que a equipe criminosa precisa estar dentro do alcance de sinal Wi-Fi durante toda a operação, o que significa presença física identificável nas imediações.

Na quarta e última fase, com o acesso ativo, programadores da organização operam remotamente os sistemas da empresa. No contexto bancário, isso permite movimentar valores de contas de clientes e acessar credenciais privilegiadas.

Os valores são imediatamente distribuídos em contas intermediárias, dificultando o rastreamento. O insider não precisa mais interagir com o sistema.

Pokas Ideias é o grupo por trás da operação

A investigação da ZenoX identificou que o recrutador analisado integrava o grupo Pokas Ideias, também conhecido como Pokas Veteranos, uma das organizações criminosas mais ativas no ecossistema de fraudes bancárias brasileiro, ao lado de grupos como Conta Forte e La Mafia.

Pokas é reconhecido especificamente pela execução de golpes com comprometimento físico de infraestrutura bancária e corporativa. Ele expandiu recentemente sua atuação para golpes de crédito consignado e comprometimento de contas de perfil VIP.

A estrutura interna é hierarquizada. Na base estão os tripeiros, recrutadores públicos que atuam diretamente nos grupos de Telegram e são o elo mais exposto da cadeia. Acima deles estão os operadores de campo, responsáveis pela entrega do dispositivo e acompanhamento presencial.

Na camada seguinte estão os programadores, que conduzem a operação técnica remota. No topo estão os gestores e doleiros, responsáveis pela distribuição e lavagem dos valores, concentrando aproximadamente 60% do total extraído por operação.

Como parar esse esquema

O relatório aponta três frentes de ação prioritárias para mitigação desse tipo de ameaça. A primeira é o monitoramento contínuo de fontes abertas, implementando soluções de vigilância de grupos criminosos em Telegram, WhatsApp e fóruns da dark web, com o objetivo de identificar menções à empresa ou ao setor antes que um funcionário seja recrutado.

A segunda é a detecção de dispositivos não autorizados na rede, por meio de ferramentas NAC capazes de identificar automaticamente qualquer dispositivo conectado à infraestrutura que não esteja previamente cadastrado — dispositivos MikroTik ou similares devem gerar alertas imediatos, e varreduras periódicas de inventário físico são igualmente recomendadas.

A terceira é o treinamento e conscientização de funcionários, especialmente terceirizados de manutenção, limpeza e TI, que representam um vetor de acesso frequentemente subestimado.

A investigação evidencia uma ameaça madura, estruturada e em expansão. O recrutamento via grupos públicos de Telegram é escalável, de baixo custo para os criminosos e difícil de conter na origem. A alta rotatividade de recrutadores, com novos atores assumindo rapidamente após identificações, torna a resposta reativa insuficiente. 

Para ficar por dentro de notícias de cibersegurança e aprender a se proteger de golpes, acompanhe o TecMundo nas redes sociais e YouTube, e se inscreva em nossa newsletter.