Spoofing: O que é, tipos e quando a fraude se torna caso de polícia

Spoofing é uma técnica de cibercrime onde um invasor falsifica dados para se passar por uma fonte confiável. O objetivo geralmente é obter acesso a sistemas, roubar dados sensíveis ou espalhar malwares, enganando tanto pessoas quanto sistemas de segurança.

A transformação digital trouxe agilidade, mas também abriu portas para vulnerabilidades sofisticadas. Você já recebeu uma ligação que parecia ser do número oficial do seu banco? Ou um e-mail de um colega de trabalho com solicitações suspeitas sobre uma suposta compra não autorizada?

No universo do Direito Digital, esse fenômeno de falsificação de identidade tem nome: spoofing.

Célebre no Brasil após o episódio da “Vaza Jato”, o spoofing deixou de ser apenas uma curiosidade técnica para se tornar uma ferramenta central em crimes como:

• Estelionato qualificado (fraudes financeiras);
• Invasão de dispositivo informático;
• Espionagem industrial e política.

Compreender a mecânica do spoofing e suas implicações jurídicas é essencial para proteger clientes e empresas em um cenário onde a identidade digital é o nosso bem mais precioso.

Continue a leitura para identificar o que fazer quando for vítima de spoofing e quais leis são fundamentais para fundamentar os crimes!

O que é spoofing?

O termo vem do inglês spoof (parodiar ou enganar). No contexto da cibersegurança, o spoofing ocorre quando um invasor/estelionatário falsifica dados para se passar por uma fonte confiável. 

Diferente de um ataque de “força bruta”, que tenta quebrar a segurança à força, o spoofing foca na engenharia social: ele engana o receptor para que este “abra a porta” voluntariamente, acreditando estar interagindo com alguém conhecido.

Os principais objetivos do spoofing são:

• Mascarar a identidade real do criminoso;
• Ganhar acesso a sistemas restritos;
• Roubar dados sensíveis (senhas, documentos, fotos);
• Induzir transferências financeiras (golpe do Pix ou boletos falsos).

Contudo, é importante diferenciar dois tipos de spoofing!

Spoofing digital

O primeiro é o “spoofing digital”, do qual estamos a falar, atrelado à crimes cibernéticos: foca em falsificação de identidade para ganhar confiança da vítima. 

Spoofing no mercado de capitais

No mercado de capitais, essa prática é uma forma de manipulação ilícita de preços. Diferente da falsificação de e-mails, aqui o “engano” ocorre no livro de ofertas.

Quando um negociador anuncia um grande lote de compra/venda de ações visando atrair investidores posicionados do outro lado da operação. Porém, ao invés de concluir a venda/compra, o operador cancela o lote para fazer outra operação efetiva com o reajuste de preço obtido pela primeira dissimulação. 

Essa operação é ilícita e tipificada pela Resolução 62/2022 da CVM. 

Como funciona o spoofing?

O ataque baseia-se na manipulação de protocolos de comunicação. Os criminosos alteram os cabeçalhos dos pacotes de dados para que a origem da informação pareça legítima aos olhos da vítima ou do sistema.

Para entender melhor, veja como isso ocorre em duas frentes diferentes:

Golpe da falsa central (engenharia social)

O estelionatário faz uma ligação aparentemente verdadeira, como uma central de atendimento ao cliente, alegando ter identificado uma compra suspeita e exigindo que você confirme ou conteste a operação. Acreditando se tratar de uma fonte legítima, a vítima nega a compra. 

A partir desse momento, o estelionatário “orienta” a vítima a transferir seu saldo bancário para uma “conta de segurança.” 

Evidentemente, a conta de segurança é a dele próprio, ou de um laranja que foi igualmente vítima de um vazamento de dados (o que é mais comum). 

Spoofing de IP (ataque técnico)

Em uma rede, cada dispositivo possui um endereço IP único. No IP spoofing, o atacante envia uma mensagem que finge vir de um IP autorizado pela rede. 

O sistema receptor, confiando naquela identificação prévia, aceita o comando ou libera o acesso sem questionar a veracidade da informação.

Para melhorar a compreensão, vamos analisar os diversos tipos de spoofing!

Quais são os tipos de spoofing?

Existem diversas variantes desta prática ilícita, classificadas de acordo com o canal utilizado pelo invasor. 

Abaixo, detalhamos as quatro mais comuns e seus impactos no Direito:

E-mail Spoofing: 

É a falsificação do remetente. O atacante altera o campo “De:” para que pareça enviado por uma empresa ou pessoa conhecida (ex: financeiro@suaempresa.com.br). 

Utilizado no Business Email Compromise (BEC), onde boletos falsos são enviados a clientes ou instruções de transferência bancária são dadas a funcionários, gerando disputas sobre responsabilidade civil por pagamento indevido. 

Neste caso, a jurisprudência tem reconhecido que, para empresas com departamentos financeiros, cabe a eles atestar a veracidade do recebedor, não podendo posteriormente buscar a reparação nas instituições financeiras. 

IP Spoofing: 

O invasor envia pacotes de dados de um endereço IP falso para disfarçar sua localização ou personificar um sistema confiável dentro de uma rede fechada.

Frequentemente usado em ataques de DDoS (Negação de Serviço) ou para contornar listas de acesso (ACLs). 

Em termos de LGPD, isso pode configurar um incidente de segurança grave por acesso não autorizado a bancos de dados.

DNS Spoofing (ou envenenamento de cache): 

Aqui, o ataque é na infraestrutura. O hacker altera as tabelas de um servidor DNS para que, ao digitar www.google.com, o usuário seja levado a um site idêntico, mas controlado pelo criminoso. 

Neste caso, o risco se dá pela captura massiva de dados de login e senha. Aqui, a responsabilidade pode recair sobre os provedores de infraestrutura se for provada a negligência na segurança dos servidores.

Face Spoofing (falsificação biométrica): 

Com o avanço do onboarding digital em bancos, criminosos usam fotos em alta resolução, vídeos (deepfakes) ou máscaras 3D para enganar sistemas de reconhecimento facial.

Diretamente ligado ao Falso Cadastro e à Invasão de Conta. É um dos temas mais quentes no Direito Civil e do Consumidor, pois envolve a falha nos mecanismos de segurança biométrica das fintechs. 

Qual a diferença entre spoofing e phishing?

É comum confundir os dois conceitos, mas eles operam em camadas diferentes do cibercrime. Enquanto um foca na identidade, o outro foca na estratégia.

Spoofing é a técnica de disfarce

É o ato de falsificar a identidade (o “remetente falso”). Ele se refere ao ato de falsificar a origem de uma comunicação. 

É a máscara que o criminoso coloca para parecer que é o banco, o juiz ou a empresa de telefonia, ou mesmo um falso advogado. É a técnica de alterar o “quem”.

Phishing é a estratégia da isca

É o crime de engenharia social para induzir a vítima a realizar uma ação: clicar em um link malicioso, baixar um arquivo infectado ou fornecer uma senha. 

A partir daí, com os dados em posse do fraudador, ele mesmo realiza as operações fraudulentas, sem precisar mais se valer de atos da vítima. 

No entanto, é possível e comum que ambas as práticas sejam de atuação conjunta no momento da fraude. 

Por exemplo, se você recebe um e-mail falso do que parece ser seu banco, o estelionatário está usando de spoofing; mas ao clicar no link do remetente suspeito e inserir sua senha, você foi vítima de phishing.

A relevância jurídica da distinção entre spoofing e phishing

No Direito Penal, a distinção ajuda na tipificação. 

• Invasão de Dispositivo (Art. 154-A do CP): Se um réu apenas utiliza IP spoofing para invadir um sistema sem necessariamente enganar uma pessoa física, o crime está mais próximo da Invasão de Dispositivo Informático (Art. 154-A);
• Fraude Eletrônica (Art. 171, § 4º-B do CP): Se ele usa o spoofing de e-mail para aplicar um golpe de “pescaria” de dados e subtrair valores, estamos diante da Fraude Eletrônica (Art. 171, § 4º-B). Saber separar a “ferramenta” (spoofing) do “plano criminoso” (phishing) é vital para a correta imputação da conduta.

Seja protagonista da sua advocacia com o Astrea

Tenha tempo para focar no crescimento do seu escritório, enquanto o Astrea cuida da sua gestão jurídica com inteligência.

Conheça o Astrea

Como posso me proteger contra spoofing?

A proteção contra o spoofing não é apenas uma questão de software, mas de postura analítica. No Direito Digital, a adoção dessas medidas é fundamental para configurar a “autoproteção” necessária, evitando que se alegue negligência da vítima em eventuais disputas judiciais.

Confira as 5 camadas de proteção essenciais:

Autenticação de Dois Fatores (2FA/MFA): 

Esta é a barreira mais eficaz. Mesmo que o criminoso consiga falsificar sua identidade (spoofing) ou roube sua senha, ele não terá o código físico enviado ao seu dispositivo ou gerado por aplicativos (como Google Authenticator ou Microsoft Authenticator).

Verificação de Cabeçalhos (Headers): 

Em e-mails, não confie apenas no nome que aparece no campo “De:”. Clique nos detalhes do remetente para verificar o endereço de e-mail real. 

Se o nome diz “Banco X” mas o endereço é contato@promocao-legal.net, você está diante de um spoofing.

Cultura de “Confirmação por Canal Alternativo”: 

Recebeu uma ordem de transferência urgente do seu chefe por e-mail? Ligue para ele ou mande uma mensagem por um canal que você saiba ser seguro. Nunca utilize os dados de contato fornecidos na própria mensagem suspeita.

Desconfie do Identificador de Chamadas: 

O Caller ID é facilmente manipulável. Se receber uma ligação de um número oficial pedindo dados, desligue e ligue você mesmo para o número que consta no verso do seu cartão ou no site oficial da instituição.

Uso de Assinaturas Digitais (Certificados ICP-Brasil): 

No âmbito jurídico, o uso de assinaturas digitais garante a autenticidade e a integridade do documento, tornando o spoofing de documentos eletrônicos praticamente impossível.

Como vimos, a autoproteção é um argumento jurídico vital. Garanta que você está seguindo as melhores práticas de conformidade e proteção de dados. Clique aqui para acessar o material exclusivo sobre Segurança Digital para Advogados e evite vulnerabilidades no seu dia a dia!

Quais ferramentas existem para detectar spoofing?

Para advogados que atuam em Compliance ou Direito Digital, conhecer estas ferramentas é essencial para auditar a segurança de clientes ou fundamentar perícias judiciais. 

O “Tripé de Autenticidade” de E-mail (Nível Corporativo)

No âmbito corporativo (e-mail), as empresas devem configurar três protocolos principais que funcionam como o DNA de um e-mail legítimo:

• SPF (Sender Policy Framework): Uma lista pública de endereços IP autorizados a enviar e-mails em nome de um domínio;
• DKIM (DomainKeys Identified Mail): Adiciona uma assinatura criptográfica a cada e-mail, garantindo que ele não foi alterado no caminho;
• DMARC (Domain-based Message Authentication): Instruções que dizem ao servidor receptor o que fazer (bloquear ou enviar para o spam) caso o SPF ou o DKIM falhem.

Ferramentas de Diagnóstico para o Usuário Final

Se você suspeita de uma comunicação, estas ferramentas ajudam na verificação imediata:

• Analisadores de Cabeçalho: Ferramentas online (como o Google Admin Toolbox Messageheader) permitem colar o código-fonte de um e-mail para verificar se ele passou nos testes de autenticidade;
• Filtros Anti-Spam e EDR (Endpoint Detection and Response): Softwares modernos utilizam Inteligência Artificial para detectar padrões de IP Spoofing ou anomalias de rede em tempo real;
• Certificados SSL/TLS (O “Cadeado”): Verificar a validade do certificado de um site ajuda a detectar o DNS Spoofing. Se o navegador avisar que “a conexão não é segura”, o site pode ser um clone fraudulento.

O que fazer se eu for vítima de spoofing?

O sucesso de uma futura ação judicial ou de uma investigação criminal depende da rapidez e da qualidade das medidas tomadas logo após a descoberta da fraude. Se você ou sua empresa foram alvos, siga este roteiro jurídico e técnico:

Preservação de Evidências (Cadeia de Custódia): 

Não apague nada. Tire prints que mostram o remetente, o cabeçalho do e-mail, o número de telefone que originou a chamada ou a URL do site falso. 

Para casos de alto valor, considere o uso de ferramentas de registro de prova digital com validade jurídica (como a Verifact) ou uma Ata Notarial em cartório.

Notificação Imediata às Instituições: 

Se o spoofing envolve transações financeiras ou acesso a contas bancárias, ligue imediatamente para o SAC do banco para contestar a operação e solicitar o bloqueio cautelar. Anote todos os protocolos.

Boletim de Ocorrência (B.O.): 

Registre a ocorrência em uma Delegacia de Crimes Cibernéticos ou através da Delegacia Eletrônica do seu estado. Tipifique o fato relatando o uso de identidade falsa (spoofing).

Troca de Credenciais: 

Altere senhas de e-mails e redes sociais em um dispositivo que você tenha certeza que é seguro, e ative a autenticação de dois fatores (2FA) imediatamente.

Aviso aos Contatos: 

Se a sua identidade foi usada por terceiros, avise seus contatos por outros meios para evitar que a rede de contágio do golpe se amplie.

Quais são as leis específicas sobre spoofing no Brasil?

Embora o termo técnico “spoofing” não apareça literalmente no Código Penal, o ordenamento jurídico brasileiro evoluiu para punir rigorosamente as condutas que utilizam essa técnica, especialmente após as reformas de 2021.

Confira as 4 bases legais fundamentais:

Invasão de Dispositivo Informático (Art. 154-A do CP): 

Introduzido pela Lei Carolina Dieckmann e endurecido pela Lei 14.155/2021. O spoofing técnico usado para invadir celulares ou computadores (como no caso da Vaza Jato) enquadra-se aqui.  A pena é de reclusão de 1 a 4 anos e multa.

Fraude Eletrônica (Art. 171, § 4º-B do CP): 

É a principal arma jurídica contra o spoofing usado para fins financeiros (estelionato). Se o criminoso usa spoofing de e-mail ou telefone para induzir a vítima a erro e obter vantagem ilícita. 

A pena é de reclusão de 4 a 8 anos e multa (uma das penas mais severas para crimes patrimoniais sem violência).

Falsa Identidade (Art. 307 do CP):

Atribuir-se ou atribuir a terceiro falsa identidade para obter vantagem ou causar dano. É o enquadramento direto da “personificação” do spoofing.

Lei Geral de Proteção de Dados (LGPD – Lei 13.709/18):

Se uma empresa sofre um ataque de spoofing que resulta em vazamento de dados de clientes, ela pode ser responsabilizada administrativamente pela ANPD e civilmente pelos danos causados, caso fique provado que não adotou medidas técnicas mínimas (como os protocolos SPF/DKIM citados anteriormente).

Qual a responsabilidade das plataformas digitais?

Este é o ponto de maior debate nos tribunais em 2026. A jurisprudência tem se consolidado no sentido de que, segundo a Súmula 479 do STJ, as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno (fraudes cometidas por terceiros no âmbito de operações bancárias).

Se um banco permite que um criminoso use o seu número oficial (0800) via Caller ID Spoofing para enganar um cliente, entende-se que há uma falha na segurança do sistema de comunicação da empresa, gerando o dever de indenizar. É a Teoria do Risco do Empreendimento.

Ainda, o Marco Civil da Internet dispõe que os provedores de aplicação podem ser responsabilizados se não agirem prontamente após a denúncia de perfis ou contas fakes que estejam praticando spoofing.

Conclusão

O spoofing é uma técnica camaleônica que desafia as barreiras tradicionais de segurança. Como vimos, ele não é apenas um “erro técnico”, mas uma ferramenta sofisticada de engenharia social e invasão de sistemas.

Para o profissional do Direito, o tema exige atenção redobrada à custódia de prova digital e aplicação correta a Código Penal e LGPD.

Para o cidadão e para as empresas, a vigilância constante é o preço da conveniência digital. No ambiente virtual, compreender que “nem tudo o que parece, é” constitui o primeiro passo para uma defesa jurídica e tecnológica eficaz.

Mais conhecimento para você

Se você gostou deste texto e deseja seguir a leitura em temas sobre direito e advocacia, vale a pena conferir os seguintes materiais:  

• Período de carência: o que é e como funciona!
• Veja o que é dano existencial e como ele é configurado!
• Saiba o que é o novo marco cambial e quais são as principais mudanças
• Lei 14.478/22 comentada: o que muda e principais artigos
• A importância do advogado criminalista no ordenamento jurídico brasileiro
• O que é o direito de convivência e quais são os princípios
• Entenda o que é e como funciona a fusão de empresas
• Entenda o que é o direito à manifestação, legislação e como funciona
• Entenda como funciona o divórcio e quais tipos existem

Gostou do artigo e quer evoluir a sua advocacia?

Assine grátis a Aurum News e receba uma dose semanal de conteúdo no seu e-mail! ✌️

Qual seu e-mail?

Endereço de e-mail inválido ou incorreto

Quantos processos você ou
seu escritório acompanham?

Selecione os processos

• Mais de 1000 processos
• De 501 a 1000 processos
• De 151 a 500 processos
• De 41 a 150 processos
• Até 40 processos
• Atuo apenas no consultivo
• Ainda sou estudante de direito
• Não sou da área jurídica

Selecione algum processo

Assinar grátis Assinar

Ao se cadastrar você declara que leu e aceitou a política de privacidade e cookies do site.

Este conteúdo foi útil pra você? Conta aqui nos comentários 😉