Blog Attacks

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.

Jun 21, 2026 • 9 min read

Mike Kutlu Client-Side Security Consultant

Como Bloquear a Criação de Contas Falsas com IA

A criação de contas falsas sempre foi um vetor de fraude. O que mudou foi a qualidade das falsificações. A criação automatizada de contas tradicional usava scripts que preenchiam formulários à velocidade da máquina, reciclavam impressões digitais entre sessões e falhavam nas verificações comportamentais básicas. A criação de contas com IA usa sessões de navegador reais, tempos variados, padrões comportamentais de aparência realista e dados pessoais gerados que passam na validação básica.

O resultado é uma população de contas falsas que parecem legítimas por todas as métricas que os sistemas de fraude tradicionais usam para classificá-las, tornando-se um recurso para abuso, fraude de promoções, preenchimento de credenciais ou revenda a outros fraudadores. A mesma lacuna de visibilidade na camada do navegador que permite que os agentes de teste de cartão com IA passem despercebidos aplica-se também aqui, como abordado em Como Bloquear Agentes de Teste de Cartão com IA.

Por Que as Contas Falsas São Criadas

Resposta rápida: As contas falsas permitem uma variedade de esquemas de fraude: abuso promocional (reivindicar descontos de novos utilizadores várias vezes), manipulação de inventário (reter stock para revender), revenda de credenciais (vender contas verificadas em mercados da dark web), fraude de avaliações e abuso específico da plataforma. O custo de criar contas caiu significativamente à medida que a automação com IA tornou a criação em massa mais barata e mais capaz de evasão.

Casos de uso comuns para infraestrutura de contas falsas:

Fraude de promoções: Os descontos para novos utilizadores, os bónus de indicação e os créditos de inscrição têm valor. Um único fraudador com criação de contas com IA pode reivindicá-los em escala em centenas ou milhares de contas.
Manipulação de inventário: A criação de contas em massa pode ser usada para reter inventário de lançamento limitado, alocações de bilhetes ou oferta restrita, e depois revender o acesso ou os próprios itens.
Manipulação de avaliações e classificações: As contas falsas são a infraestrutura para a fraude de classificações: impulsionar produtos, rebaixar concorrentes e fabricar prova social.
Revenda de credenciais: As contas verificadas em plataformas populares têm valor de mercado. As contas criadas e verificadas através de fluxos de registo de aparência real são vendidas em mercados criminosos.
Escalada de abuso de plataforma: As contas falsas são muitas vezes o primeiro passo em cadeias de fraude mais complexas: preparação de aquisição de contas, infraestrutura de engenharia social ou fraude de identidade em camadas.

Por Que o CAPTCHA Falha Contra a Criação de Contas com IA

Resposta rápida: O CAPTCHA foi concebido para distinguir humanos de bots baseados em regras. A criação de contas com IA derrota-o através de modelos de visão com IA que resolvem desafios visuais, serviços de resolução de CAPTCHA que usam solucionadores humanos a baixo custo e padrões comportamentais que satisfazem as heurísticas subjacentes do CAPTCHA sem serem humanos.

Os modos de falha estão bem documentados:

Modelos de visão com IA: Os modelos de visão modernos conseguem resolver os desafios CAPTCHA padrão baseados em imagens com alta precisão. A lacuna cognitiva entre humanos e máquinas em que o CAPTCHA se baseia fechou-se efetivamente para a maioria dos tipos de desafio comuns.

Serviços de resolução por humanos: Um grande mercado de serviços de resolução de CAPTCHA usa humanos reais em mercados de mão de obra de baixo custo para resolver desafios para sistemas automatizados. O tempo de resposta é tipicamente inferior a 30 segundos. Da perspetiva do seu sistema CAPTCHA, o desafio foi resolvido por um humano.

Evasão do CAPTCHA comportamental: Os sistemas CAPTCHA comportamentais que rastreiam o movimento do rato, os padrões de clique e a dinâmica de interação são cada vez mais contornados por automação de navegador com IA que gera sinais comportamentais plausíveis e semelhantes aos humanos. A qualidade da geração varia, mas os sistemas sofisticados conseguem produzir padrões comportamentais que passam no CAPTCHA comportamental padrão.

Nos testes controlados da cside, as ferramentas tradicionais não detetaram agentes de IA a operar dentro de sessões de navegador reais em 81 de 100 cenários, e os agentes de criação de contas com IA enquadram-se exatamente nessa lacuna.

A limitação fundamental do CAPTCHA é que se trata de um único ponto de verificação, em vez de uma avaliação contínua ao nível da sessão. Mesmo que apanhe algumas sessões automatizadas no momento do desafio, não oferece qualquer proteção contra sessões que passaram no desafio através de qualquer um dos mecanismos acima.

Os Sinais da Sessão Que Revelam a Criação de Contas com IA

Resposta rápida: As sessões de criação de contas com IA têm assinaturas comportamentais na camada do navegador que persistem ao longo do fluxo de registo, não apenas no ponto de verificação do CAPTCHA. O tempo de interação, os padrões de preenchimento de formulários, o estado da impressão digital e o comportamento após o registo revelam coletivamente a criação automatizada de contas que o CAPTCHA não detetou.

Comportamento de preenchimento do formulário de registo Os utilizadores humanos que preenchem um formulário de registo levam um tempo variável por campo. Eles pausam nos campos de e-mail (para verificar ou digitar o seu endereço), demoram mais nos campos de palavra-passe (para construir e memorizar) e ocasionalmente cometem e corrigem erros. Os sistemas de criação de contas com IA preenchem os formulários com tempos consistentes e precisos: cada campo leva aproximadamente a mesma quantidade de tempo, não há eventos de correção e o formulário é concluído sem hesitação.

Padrões de dados pessoais gerados Os dados pessoais gerados por IA têm muitas vezes padrões estatísticos que diferem dos registos de utilizadores reais: combinações de nomes irrealistas, endereços de e-mail que seguem padrões de geração algorítmica, números de telefone que se agrupam em torno de prefixos específicos ou seguem padrões estruturais, e dados de morada que não correspondem a moradas residenciais plausíveis.

Estado da impressão digital As sessões de criação de contas de sistemas de IA apresentam tipicamente impressões digitais limpas, em estado padrão, sem o contexto acumulado dos dispositivos de consumidores reais. Uma impressão digital nova a aparecer em escala (muitos registos a partir de sessões com perfis semelhantes) é um sinal.

Comportamento após o registo As contas falsas exibem muitas vezes um comportamento característico após o registo: envolver-se imediatamente com códigos promocionais, tentar imediatamente explorar sistemas de indicação ou permanecer completamente inativas após a criação (estacionadas para uso posterior). Esses perfis comportamentais nos primeiros minutos e horas após a criação da conta são sinais observáveis.

Correlação de sessões A criação de contas com IA em escala produz padrões de sessão correlacionados: tempos semelhantes entre sessões, clusters de impressão digital semelhantes, caminhos de navegação semelhantes através do fluxo de registo. As sessões individuais podem parecer plausíveis; o padrão entre sessões revela a automação.

Controlos Que Funcionam

Resposta rápida: A prevenção eficaz de contas falsas exige uma avaliação contínua da sessão, em vez de um único ponto de verificação. Os sinais comportamentais ao longo do fluxo de registo, a verificação de e-mail e telefone, e a monitorização após o registo proporcionam em conjunto a cobertura que o CAPTCHA por si só não consegue alcançar.

Avaliação comportamental ao longo do registo Em vez de um único ponto de verificação CAPTCHA, a monitorização comportamental contínua da sessão de registo fornece sinais que a criação de contas com IA não consegue suprimir de forma consistente. Os padrões de preenchimento de formulários, o tempo de interação e as características da impressão digital acumulam-se numa pontuação comportamental ao longo de toda a sessão de registo.

Painel de deteção de agentes de IA da cside

Verificação de e-mail e telefone Exigir a verificação de um endereço de e-mail ou número de telefone funcional acrescenta uma barreira à criação de contas em massa. Não impede os fraudadores determinados que usam serviços temporários de e-mail ou telefone, mas acrescenta custo e fricção que limitam a escala. Combinada com sinais comportamentais, a verificação apanha contas que a análise comportamental sinalizou mas não bloqueou definitivamente.

Monitorização comportamental após o registo As contas que reivindicam imediatamente ofertas promocionais, usam imediatamente sistemas de indicação ou exibem imediatamente atividade de alto volume têm perfis comportamentais que diferem do onboarding normal de novos utilizadores. Sinalizar e rever contas com estes padrões pós-registo antes de ativar os benefícios apanha a fraude de promoções e o abuso.

Análise de correlação Olhar para o conjunto das sessões de registo em vez de para sessões individuais revela a criação coordenada de contas. Os clusters de sessões com impressões digitais semelhantes, tempos semelhantes, padrões de preenchimento de formulários semelhantes ou comportamento pós-registo semelhante indicam a criação sistemática de contas falsas, mesmo quando as sessões individuais passam nas verificações pontuais.

A cside expõe estes sinais ao nível da sessão e entre sessões em tempo real, dando às equipas de fraude a visibilidade para agir sobre o abuso de registos antes que as contas falsas sejam ativadas e usadas. Se estiver a avaliar ferramentas para isto, consulte as melhores plataformas de gestão de confiança de bots e agentes comparadas.

O que a cside Deteta que o CAPTCHA Perde: Um Cenário Concreto

Resposta rápida: Uma operação de fraude de promoções tem como alvo o teste gratuito de 30 dias de uma plataforma SaaS. Cada conta recebe um endereço de e-mail distinto, um nome plausível e passa no CAPTCHA através de um serviço de resolução por humanos. As ferramentas de fraude tradicionais não veem nada. Aqui está o que a sessão do navegador revela.

O agente navega até à página de inscrição e espera 18 segundos antes de tocar no formulário, um atraso programado para simular leitura. O campo do primeiro nome é preenchido em exatamente 0,6 segundos. O campo de e-mail leva exatamente 1,1 segundos em cada registo do lote. O tempo de inserção da palavra-passe é de 1,8 segundos, idêntico em 200 sessões consecutivas. Há zero eventos de correção em qualquer campo em todo o lote. O formulário é submetido no espaço de 0,5 segundos após a conclusão do último campo.

A cside observa: variância de tempo ao nível do campo de menos de 40 milissegundos em todas as 200 sessões, perfis de impressão digital a agrupar-se em torno dos mesmos padrões do framework, e comportamento pós-registo a mostrar reivindicações imediatas de códigos promocionais no espaço de 90 segundos após a confirmação da conta. As sessões individuais passam em todas as verificações pontuais. O padrão entre sessões mostra um registo automatizado sistemático em escala. A cside sinaliza o lote como criação coordenada de contas falsas e pausa a ativação dos benefícios pendente de revisão manual.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

O custo de criar contas falsas convincentes caiu significativamente à medida que os frameworks de automação de navegador com IA, os serviços de resolução de CAPTCHA e os dados pessoais gerados por LLM se tornaram amplamente disponíveis. A economia favorece os fraudadores: o custo de criar contas em escala é baixo, e o valor das contas falsas para fraude de promoções, revenda ou abuso de plataforma é alto.

Não de forma fiável. Os modelos de visão com IA conseguem resolver CAPTCHA padrão baseado em imagens. Os serviços de resolução de CAPTCHA por humanos fornecem solucionadores humanos reais a baixo custo e com rapidez. O CAPTCHA comportamental pode ser derrotado por automação de IA que gera sinais comportamentais plausíveis. O CAPTCHA é uma camada de fricção útil, mas não deve ser o controlo principal contra a criação de contas com IA.

Os sinais principais incluem a precisão do preenchimento do formulário de registo sem padrões de correção humana, os dados pessoais gerados com anomalias estatísticas, os estados de impressão digital limpos sem histórico de dispositivo acumulado, o envolvimento imediato com sistemas promocionais após a criação da conta e os padrões correlacionados entre várias sessões de registo que sugerem atividade automatizada coordenada.

Uma combinação de avaliação comportamental da sessão durante o registo, verificação de e-mail e telefone, ativação diferida dos benefícios promocionais (exigindo atividade verificada antes da elegibilidade) e monitorização comportamental após o registo proporciona uma proteção em camadas. O objetivo é tornar o abuso em massa de promoções caro o suficiente para ser não rentável, em vez de tecnicamente impossível.

As contas falsas inflacionam as métricas de registo e distorcem as análises. Elas permitem a fraude de promoções que reduz a margem e a manipulação de avaliações que afeta a reputação do produto. No agregado, populações elevadas de contas falsas degradam a qualidade da plataforma e sinalizam aos utilizadores reais que a moderação é deficiente. Elas também criam responsabilidade legal se usadas para fraude posterior contra outros participantes da plataforma.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Como Prevenir a Criação de Contas Falsas: Porque a Deteção na Camada do Navegador Apanha o que a Verificação de Email Não Vê

A verificação de email confirma que uma caixa de correio existe. Não consegue ver o navegador. Eis porque a deteção na camada do navegador apanha contas falsas que ela não vê.

Ataque à cadeia de suprimentos do Polyfill.io: linha do tempo completa, análise e lições (2024–2026)

Uma linha do tempo completa e documentada do ataque à cadeia de suprimentos do Polyfill.io, da venda do domínio em 2024 às sanções contra a Funnull em 2025, e como removê-lo hoje.

Capa escura do blog cside com fundo de pixels azuis e três marcas de verificação: por que regras de velocidade falham contra agentes de teste de cartão com IA, os sinais do navegador que os expõem e como bloquear o pagamento antes do checkout

Como Bloquear Agentes de Teste de Cartão com IA

Agentes de IA de teste de cartão sondam fluxos de pagamento com navegadores reais. Aprenda os sinais que os expõem antes de concluir uma transação.

Plataforma de segurança cside classificando múltiplas conexões de agentes de IA — detecção de agentes em nível de navegador e gerenciamento de confiança

Como escolher uma solução de detecção de agentes de IA

Um guia de compra em cinco etapas para CISOs que avaliam soluções de detecção de agentes de IA: arquitetura, classificação, perfis de fornecedores e metodologia de POC.

Capa do blog cside mostrando uma interface de navegador filtrando o tráfego de bots e agentes de IA em caminhos confiáveis e bloqueados

Melhores Plataformas de Gestão de Confiança de Bots e Agentes Comparadas (2026)

Forrester define a categoria. cside, DataDome, HUMAN Security, Kasada e Arkose Labs comparadas em camada de detecção, intenção e cobertura agêntica.

escudo de segurança cside a monitorizar o percurso do cursor do browser — deteção de agentes de IA na camada do browser

Como Bloquear o OpenAI Operator no Seu Site

O OpenAI Operator navega no seu site como um utilizador real. Aprenda a detectá-lo com sinais da camada do browser e quando não o deve bloquear.

DBSC versus fingerprint de dispositivo: o que a segurança de sessão do Chrome não cobre

O DBSC do Chrome impede o reuso de cookies roubados, mas é só Chrome, pós-login e sem identidade de dispositivo. Veja a fraude que ele deixa.

Detetar e bloquear o Perplexity Shopper no seu site — blog cside

Como bloquear o Perplexity Shopper no seu site

O Perplexity Shopper navega e compra em sites de retalho em nome de utilizadores Pro. Aprenda a detetar os seus sinais e a governar esse tráfego.

Ilustração de um pedido à API da Claude e de uma resposta devolvida que pertence a outro utilizador, marcada como «a resposta não corresponde ao pedido», entre os logótipos da Anthropic e da cside

Quando uma API de IA devolve a resposta de outro utilizador: caches partilhadas e fugas entre clientes

Um incidente na API da Claude parece ter devolvido respostas de outros utilizadores. Porque é que as caches partilhadas causam fugas entre clientes.

Um token de acesso OAuth 2.0 no centro de um diagrama conectando um dispositivo legítimo ao dispositivo de um atacante

Não foi a MFA que falhou, foi o modelo de confiança: device code phishing e roubo de tokens OAuth (Kali365)

O Kali365 abusa da concessão de autorização de dispositivo do OAuth 2.0 para roubar tokens do Microsoft 365 após MFA. Análise técnica do fluxo, FOCI e detecção.