Uma operação conjunta entre o FBI e autoridades da Indonésia desmantelou uma das plataformas de phishing mais estruturadas dos últimos anos: o W3LL. A ferramenta, amplamente utilizada no submundo do cibercrime, permitia que hackers criassem páginas falsas de login altamente convincentes por cerca de US$ 500, facilitando o roubo de credenciais em larga escala.

De acordo com o escritório do FBI em Atlanta, a ação resultou na apreensão da infraestrutura que sustentava o serviço, incluindo servidores e domínios críticos. Paralelamente, a polícia nacional da Indonésia prendeu o suposto desenvolvedor da plataforma, identificado apenas como G.L., que também estaria envolvido diretamente na revenda de acessos comprometidos.

Mais do que um simples kit de phishing, o W3LL operava como uma verdadeira plataforma de “cibercrime como serviço”. A estrutura incluía o W3LLSTORE, um marketplace clandestino onde eram comercializados acessos a contas comprometidas, credenciais corporativas e conexões de desktop remoto. Entre 2019 e 2023, mais de 25 mil contas invadidas foram anunciadas para venda, alimentando esquemas de fraude que, segundo o FBI, ultrapassaram US$ 20 milhões em tentativas.

Como funcionava a cadeia de ataque

O modelo de operação do W3LL seguia uma cadeia bem definida e altamente eficaz:

• Criação de páginas falsas: hackers utilizavam o W3LL Panel para gerar portais idênticos aos de serviços legítimos, como Microsoft 365

• Captura de credenciais: vítimas eram induzidas a inserir login e senha nessas páginas fraudulentas

• Bypass de MFA: a plataforma incluía mecanismos para interceptar ou contornar autenticação multifator, aumentando significativamente a taxa de sucesso

• Persistência e acesso: invasores utilizavam as credenciais para manter acesso contínuo às contas

• Monetização: acessos eram revendidos no W3LLSTORE ou utilizados em ataques de Business Email Compromise (BEC)

Pesquisas conduzidas pela Group-IB apontam que a plataforma atendia uma comunidade fechada com pelo menos 500 hackers ativos, oferecendo não apenas o kit principal, mas também outras 16 ferramentas customizadas voltadas especialmente para ataques corporativos.

Entre outubro de 2022 e julho de 2023, os recursos do W3LL foram usados para atacar mais de 56 mil contas corporativas do Microsoft 365 nos Estados Unidos, Reino Unido, Austrália e Europa. Mesmo após o fechamento oficial do W3LLSTORE em 2023, a operação continuou ativa por meio de plataformas de mensagens criptografadas, onde o serviço era promovido e vendido discretamente.

Evolução do modelo “Phishing-as-a-Service”

Nos últimos anos, o phishing evoluiu de campanhas simples para ecossistemas completos de serviços. Plataformas como o W3LL representam uma tendência clara de industrialização do cibercrime, onde qualquer invasor com baixo nível técnico pode adquirir ferramentas prontas, suporte e até acesso a dados já comprometidos.

Esse modelo reduz drasticamente a barreira de entrada e amplia o alcance dos ataques. No caso do W3LL, apenas nos últimos 10 meses de operação ativa, estima-se que o grupo tenha gerado cerca de US$ 500 mil em receitas.

Mesmo após operações policiais, o impacto desse tipo de plataforma continua relevante. Entre 2023 e 2024, ferramentas ligadas ao W3LL foram utilizadas em ataques contra cerca de 17 mil vítimas ao redor do mundo, evidenciando a resiliência desse ecossistema criminoso.

Contexto global e impacto financeiro

O desmantelamento do W3LL ocorre em um momento de escalada nas fraudes digitais. Segundo dados recentes do FBI, crimes cibernéticos representaram a maior parte das perdas reportadas ao Internet Crime Complaint Center (IC3) em 2025, somando impressionantes US$ 17,6 bilhões.

A operação também faz parte de uma ofensiva mais ampla contra o cibercrime. Em 2026, o FBI já havia derrubado grandes fóruns clandestinos, como Leakbase e RAMP, além de colaborar com autoridades da Nigéria para prender desenvolvedores ligados ao kit de phishing RaccoonO365 — outro exemplo de ferramenta voltada à exploração de credenciais do Microsoft 365.

O que isso significa para empresas

O caso reforça um ponto crítico: o phishing moderno não depende mais apenas de engenharia social básica. Hoje, ele combina automação, evasão de mecanismos de segurança e modelos de negócio estruturados.

Para empresas, isso significa que apenas autenticação multifator não é suficiente quando mal implementada ou quando existem técnicas de bypass envolvidas. Estratégias mais robustas passam a incluir:

• Monitoramento contínuo de acessos e comportamentos

• Proteção contra phishing baseada em identidade

• Treinamento recorrente de usuários

• Implementação de autenticação resistente a phishing (como FIDO2)

• Integração entre ferramentas de detecção e resposta (EDR, XDR, SIEM)

A queda do W3LL representa uma vitória importante, mas também evidencia que o cibercrime segue evoluindo em velocidade industrial — e que a defesa precisa acompanhar esse ritmo.