IA, Notícias, Golpes

Os criminosos estão a usar criadores de sites com IA para clonar grandes marcas

por Pieter Arntz | 12 de fevereiro de 2026
Imagem de um lobo disfarçado de ovelha no meio de um rebanho de ovelhas

A ferramenta de IA Vercel foi usada indevidamente por cibercriminosos para criar um site Malwarebytes .

Os cibercriminosos já não precisam de competências em design ou programação para criar um site falso convincente de uma marca. Tudo o que precisam é de um nome de domínio e um construtor de sites com IA. Em poucos minutos, podem clonar a aparência de um site, inserir fluxos de pagamento ou roubo de credenciais e começar a atrair vítimas através de pesquisas, redes sociais e spam.

Um efeito colateral de ser uma marca estabelecida e confiável é atrair imitadores que querem uma fatia dessa confiança sem fazer nenhum esforço. Os cibercriminosos sempre souberam que é muito mais fácil enganar os utilizadores fingindo ser algo que eles já reconhecem do que inventando algo novo — e os avanços na inteligência artificial tornaram trivial para os golpistas criarem sites falsos convincentes.

Registar um domínio com aparência plausível é barato e rápido, especialmente através de registadores e revendedores que fazem pouca ou nenhuma verificação prévia. Depois de os atacantes terem um nome que se pareça bastante com o real, eles podem usar ferramentas alimentadas por IA para copiar layouts, cores e elementos de marca, e gerar páginas de produtos, fluxos de inscrição e perguntas frequentes que pareçam «da marca».

Uma enxurrada de sites "oficiais" falsos

Os dados das últimas épocas festivas mostram como o abuso de domínios em grande escala se tornou rotineiro.

Durante um período de três meses que antecedeu a época de compras de 2025, os investigadores observaram mais de 18 000 domínios com temas festivos, com iscas como «Natal», «Black Friday» e «Venda relâmpago», dos quais pelo menos 750 foram confirmados como maliciosos e muitos outros ainda estão sob investigação. No mesmo período, cerca de 19.000 domínios adicionais foram registrados explicitamente para se passar por grandes marcas de varejo, dos quais quase 3.000 já hospedavam páginas de phishing ou lojas fraudulentas.

Esses sites são usados para tudo, desde a recolha de credenciais e fraudes de pagamento até a entrega de malware disfarçado como «rastreadores de encomendas» ou «atualizações de segurança».

Os atacantes aumentam a visibilidade usando SEO poisoning, abuso de anúncios e spam nos comentários, empurrando os seus sites falsos para os resultados de pesquisa e promovendo-os nas redes sociais ao lado dos sites legítimos. Do ponto de vista do utilizador, especialmente em dispositivos móveis sem a função hover, esse site falso pode estar a apenas um erro de digitação ou um toque de distância.

Quando a imitação atinge em cheio

Um exemplo recente mostra como a barreira à entrada se tornou baixa.

Fomos alertados sobre um site em installmalwarebytes[.]org que se fazia passar por um Malwarebytes genuíno Malwarebytes , desde o logótipo até ao layout.

Uma inspeção minuciosa revelou que o HTML continha um valor de meta tag apontando para v0 da Vercel, um aplicativo assistido por IA e construtor de sites.

Construído por v0

A ferramenta permite que os utilizadores coloquem um URL existente numa janela de diálogo para recriar automaticamente o seu layout, estilo e estrutura, produzindo um clone quase perfeito de um site em muito pouco tempo.

A história do domínio impostor conta uma evolução gradual para o abuso.

Registrado em 2019, o site inicialmente não continha nenhuma Malwarebytes . Em 2022, o operador começou a incorporar Malwarebytes ao publicar conteúdo de segurança em indonésio. Isso provavelmente ajudou na reputação de pesquisa, ao mesmo tempo em que normalizou a aparência da marca para os visitantes. Mais tarde, o site ficou em branco, sem registros públicos de arquivo para 2025, apenas para reaparecer como um clone completo apoiado por ferramentas assistidas por IA.

O tráfego não chegou por acaso. Links para o site apareceram em comentários spam e links injetados em sites não relacionados, dando aos utilizadores a impressão de referências orgânicas e levando-os a páginas de download falsas.

Os fluxos de pagamento eram igualmente opacos. O site falso utilizava PayPal pagamentos, mas a integração ocultava o nome e o logótipo do comerciante das telas de confirmação exibidas ao utilizador, deixando visíveis apenas os dados do próprio comprador. Isso permitia aos criminosos aceitar dinheiro, revelando o mínimo possível sobre si mesmos.

PayPal

Nos bastidores, os dados históricos de registo apontavam para uma origem na Índia e para um IP de alojamento (209.99.40[.]222) associado ao estacionamento de domínios e outros usos duvidosos, em vez de alojamento normal de produção.

Combinado com a clonagem alimentada por IA e a configuração de pagamentos evasivos, isso criou um quadro de fraude de baixo esforço e alta confiança.

Construtores de sites com IA como multiplicadores de força

O caso installmalwarebytes[.]org não é um caso isolado de uso indevido de construtores assistidos por IA. Ele se encaixa em um padrão mais amplo de atacantes que usam ferramentas generativas para criar e hospedar sites de phishing em grande escala.

Equipes de inteligência contra ameaças documentaram o uso indevido da plataforma v0 da Vercel para gerar páginas de phishing totalmente funcionais que se passam por portais de login de várias marcas, incluindo provedores de identidade e serviços em nuvem, tudo a partir de simples prompts de texto. Depois que a IA produz um clone, os criminosos podem ajustar alguns links para apontar para os seus próprios back-ends de roubo de credenciais e entrar em operação em questão de minutos.

Pesquisas sobre o papel da IA no phishing moderno mostram que os atacantes estão a recorrer fortemente a geradores de sites, assistentes de escrita e chatbots para otimizar toda a cadeia de ataque — desde a criação de textos persuasivos em vários idiomas até a geração de páginas responsivas que são exibidas de forma clara em todos os dispositivos. Uma análise de campanhas de phishing assistidas por IA descobriu que cerca de 40% dos abusos observados envolviam serviços de geração de sites, 30% envolviam ferramentas de escrita de IA e cerca de 11% utilizavam chatbots, muitas vezes em combinação. Essa combinação permite que até mesmo agentes pouco qualificados produzam golpes com aparência profissional que antes exigiam habilidades especializadas ou kits pagos.

Primeiro o crescimento, depois as salvaguardas

O problema principal não é que a IA possa criar sites. É que os incentivos em torno do desenvolvimento de plataformas de IA são distorcidos. Os fornecedores estão sob intensa pressão para lançar novos recursos, aumentar a base de utilizadores e conquistar quota de mercado, e essa pressão muitas vezes se sobrepõe a investimentos sérios na prevenção de abusos.

Como disse o diretor Malwarebytes , Mark Beare:

“Construtores de sites com tecnologia de IA, como Lovable e Vercel, reduziram drasticamente a barreira para o lançamento de sites sofisticados em poucos minutos. Embora essas plataformas incluam controlos de segurança básicos, o seu foco principal é a velocidade, a facilidade de uso e o crescimento — não a prevenção da falsificação de marcas em grande escala. Esse desequilíbrio cria uma oportunidade para que os malfeitores ajam mais rapidamente do que as defesas, criando marcas falsas convincentes antes que as vítimas ou empresas possam reagir.”

Os geradores de sites permitem a clonagem de marcas de empresas conhecidas sem verificação, os fluxos de publicação ignoram as verificações de identidade e a moderação falha silenciosamente ou só reage após uma denúncia de abuso. Alguns criadores permitem que qualquer pessoa crie e publique um site sem sequer confirmar um endereço de e-mail, facilitando a queima de contas assim que uma é sinalizada ou removida.

Para ser justo, há sinais de que alguns fornecedores estão a começar a responder, bloqueando campanhas específicas de phishing após a divulgação ou adicionando controlos limitados de proteção da marca. Mas essas são, muitas vezes, correções reativas aplicadas após o dano já ter sido causado.

Entretanto, os atacantes podem migrar para clones de código aberto ou bifurcações ligeiramente modificadas das mesmas ferramentas hospedadas em outros locais, onde pode não haver qualquer moderação de conteúdo significativa.

Na prática, o efeito líquido é que as empresas de IA beneficiam do crescimento e da experimentação que advêm de ferramentas permissivas, enquanto as consequências são deixadas para as vítimas e os defensores.

Bloqueámos o domínio no nosso módulo de proteção web e solicitámos a remoção do domínio e do fornecedor.

Como se manter seguro

Os utilizadores finais não podem corrigir incentivos de IA desalinhados, mas podem dificultar a vida dos falsificadores de marcas. Mesmo quando um site clonado parece convincente, há sinais de alerta a serem observados:

  • Antes de concluir qualquer pagamento, sempre verifique os detalhes de «Pagar a» ou o resumo da transação. Se nenhum comerciante for nomeado, saia do site e considere-o suspeito.
  • Use umasolução antimalwareatualizada e em tempo real com um módulo de proteção da web.
  • Não siga links publicados em comentários, redes sociais ou e-mails não solicitados para comprar um produto. Siga sempre um método verificado e confiável para entrar em contacto com o fornecedor.

Se encontrar um Malwarebytes falso Malwarebytes , informe-nos.

Não nos limitamos a relatar ameaças — ajudamos a proteger toda a sua identidade digital.

Os riscos de cibersegurança nunca devem ir além das manchetes. Proteja as suas informações pessoais e as da sua família usando proteção de identidade.

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

IA
Uma mão estende-se para apanhar um asterisco de uma palavra-passe escrita.

As palavras-passe geradas por IA são um risco à segurança

fevereiro 19, 2026

As palavras-passe geradas por IA são «altamente previsíveis» e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem decifradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logótipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

fevereiro 18, 2026

Esta violação parece agora muito mais grave. Os dados que vazaram incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes