A anatomia de um ataque de multicontas: estudo de caso em uma plataforma de iGaming
Um operador, 217 contas, US$ 84.000 em abuso de bônus. Como o multicontas profissional é realmente montado — e os 11 sinais correlacionados que colapsaram o cluster inteiro de volta em um único fraudador.
Multicontas em iGaming não é um punhado de pessoas abrindo contas extras. São operações profissionais rodando centenas de identidades sintéticas contra uma única plataforma, extraindo bônus de boas-vindas, cashback e pagamentos promocionais.
A economia funciona porque o custo marginal de uma conta nova é próximo de zero — e-mail, número de telefone descartável, documentos de identidade roubados ou sintetizados — e o retorno marginal por conta é dinheiro de verdade. A US$ 50–200 de valor extraído por conta, 200 contas contra um operador equivalem a uma renda em tempo integral.
Este é o detalhamento de um padrão de ataque real observado contra operadores de iGaming europeus em 2025. Nomes e detalhes específicos foram anonimizados. As técnicas são atuais.
A montagem: a infraestrutura em que o fraudador investe
Um multicontista sério opera uma pequena infraestrutura:
-
Uma assinatura de proxy residencial — tipicamente 911.re, IPRoyal ou Smartproxy — fornecendo IPs rotativos em dezenas de países. Custo: US$ 50–200 por mês.
-
Um navegador anti-detecção — Multilogin, Dolphin Anty, GoLogin, Kameleo ou AdsPower. Cada uma dessas ferramentas roda perfis de navegador isolados com fingerprints configurados de forma independente. Custo: US$ 50–150 por mês.
-
Um estoque de identidades envelhecidas — compradas em fóruns (pacotes de e-mail verificado + telefone + scan de documento) ou geradas. Custo: US$ 5–30 por identidade.
-
Infraestrutura de pagamento — cartões pré-pagos, carteiras de criptomoeda ou mulas financeiras para receber os ganhos sem trilhas de conta unificadas.
Custo fixo mensal total: US$ 200–500. Com US$ 84.000 em valor extraído ao longo de 6 meses, o ROI é de 20–30×.
O ciclo de vida de uma única conta fraudulenta
Toda conta sintética segue um padrão semelhante:
1. Um perfil no navegador anti-detecção é criado com um fingerprint novo (canvas, WebGL, fuso horário, idioma, resolução de tela).
2. Um proxy residencial é atribuído — tipicamente de um país compatível com os documentos de identidade.
3. O registro é concluído com uma identidade envelhecida: e-mail, verificação de telefone via serviço de encaminhamento de SMS, upload de um documento de identidade roubado ou gerado.
4. O KYC passa — porque os documentos de identidade são reais (roubados) ou falsificados profissionalmente.
5. Um pequeno depósito é feito — geralmente US$ 10–30 — para ativar o bônus de boas-vindas.
6. O bônus é jogado em seleções específicas de jogos que maximizam o valor esperado contra o requisito de apostas.
7. Os ganhos são sacados para o método de pagamento vinculado à identidade.
8. A conta é abandonada ou vendida.
O ciclo completo leva de 2 a 7 dias. Um operador profissional roda de 20 a 40 contas simultaneamente, em diferentes estágios desse pipeline.
O que o operador estava vendo
O time de fraude da plataforma de iGaming notou anomalias no segundo trimestre:
-
A razão de pagamento de bônus em contas novas subiu de 47% para 63% na comparação trimestral.
-
Os chargebacks permaneceram baixos — ou seja, não eram cartões roubados. A fraude era estrutural, não transacional.
-
Aumentaram os tickets de suporte de jogadores recorrentes que não reconheciam o histórico da própria conta.
O time suspeitava de multicontas, mas não tinha o ferramental para prová-lo em escala. Cada conta, vista isoladamente, parecia legítima. Nomes diferentes, IPs diferentes, fingerprints diferentes, documentos diferentes.
O que os sinais de fato mostraram
Quando os sinais de inteligência de dispositivos foram aplicados retroativamente à população de contas, 217 contas colapsaram em um único operador. Eis o que as amarrava.
Sinal 1. Reúso de impressão digital de TLS
Apesar de IPs diferentes e fingerprints de navegador diferentes, as 217 contas compartilhavam apenas 3 hashes JA4 únicos. A impressão digital de TLS é gerada pela biblioteca do cliente — e embora o navegador anti-detecção conseguisse falsificar canvas e WebGL, ele usava um único build de Chromium subjacente para os handshakes de TLS. Os três hashes JA4 correspondiam a três versões do navegador anti-detecção pelas quais o operador foi atualizando.
Sinal 2. Temporização comportamental entre sessões
As 217 contas tinham horários de registro agrupados em janelas estreitas: majoritariamente 09:00–11:00 UTC em dias úteis. Jogadores reais se registram ao longo de todo o ciclo de 24 horas. O horário de trabalho humano em um único fuso entregou o operador, independentemente do fuso horário que cada perfil falso alegava.
Sinal 3. Padrões de jogo do bônus
A estratégia de apostas entre as contas era quase idêntica: mesma seleção de jogos (slots específicos de baixa variância), mesmo tamanho de aposta em relação ao bônus, mesma duração de sessão antes do pedido de saque. Jogadores reais têm preferências enormemente variadas. Uniformidade estatística entre contas só é possível com um script ou um playbook.
Sinal 4. Micropadrões de movimento do mouse
Navegadores anti-detecção falsificam os fingerprints visuais, mas não falsificam como um humano se move ao longo de uma sessão. Os traçados de mouse das 217 contas tinham características compartilhadas — curvas de Bézier com perfis de aceleração consistentes, padrões específicos de retorno às mesmas coordenadas antes dos cliques. Tudo produzido pela automação do operador.
Sinal 5. Clusterização dos endpoints de pagamento
Apesar dos nomes diferentes nas contas, os saques passavam por 8 carteiras de criptomoeda únicas. O reúso de carteira entre contas sem relação entre si é um dos sinais mais fortes disponíveis e não exige nenhuma detecção no nível do dispositivo.
Sinal 6. Inconsistências na enumeração de fontes
O navegador anti-detecção falsifica as listas de fontes, mas apenas a partir de uma biblioteca predefinida. Todas as 217 contas reportavam enumerações de fontes de um pool limitado de 5 templates. Usuários reais têm combinações únicas de fontes instaladas. Os templates foram flagrados porque sua diversidade era baixa demais.
Sinal 7. Clusterização do renderer de WebGL
O navegador anti-detecção rotaciona as strings de GPU, mas a partir de um conjunto fixo — tipicamente as 20–30 GPUs de consumo mais comuns. Nas 217 contas, as strings de GPU apareciam com uma distribuição implausível: forte sobrerrepresentação de modelos específicos da Intel e da NVIDIA, sem nenhuma representação de hardware AMD. Populações de usuários reais têm uma distribuição de GPU mais ampla.
Sinal 8. Resoluções de tela fora do padrão
Navegadores anti-detecção geram dimensões de tela, mas frequentemente com resoluções fora do padrão para parecerem únicas. Telas reais são 1366×768, 1920×1080, 2560×1440, 3840×2160 ou um punhado de tamanhos de laptop. As 217 contas incluíam dimensões como 1892×1063, que nenhum display real usa.
Sinal 9. Sobreposição de sessões entre contas
Duas contas fizeram login do mesmo IP com milissegundos de diferença, mas a partir de perfis anti-detecção diferentes. Os logs de sessão revelaram que, quando uma conta fazia logout, outra fazia login segundos depois — de um IP diferente, mas com características de conexão detectáveis que as amarravam. O pool de proxies rotacionava, mas as ações do operador, não.
Sinal 10. Correlação da origem dos depósitos
Os depósitos em criptomoeda nas contas vinham de 12 carteiras de origem. A análise de blockchain mostrou que essas 12 carteiras recebiam fundos de uma única conta de exchange a montante. A análise follow-the-money vinculou o cluster inteiro.
Sinal 11. Padrões linguísticos nos tickets de suporte
Algumas das contas abriram tickets de suporte ao longo dos 6 meses. Os padrões de linguagem — formulações específicas, tiques gramaticais, erros de ortografia nas mesmas palavras — eram compartilhados entre contas registradas em países e configurações de idioma diferentes.
Por que sinais isolados falham
Qualquer um desses sinais poderia ser coincidência. Duas contas com a mesma impressão digital de TLS poderiam ser dois usuários na mesma versão do Chrome. Duas contas com traçados de mouse semelhantes poderiam ser dois jogadores que clicam de forma parecida. Dois saques para a mesma carteira poderiam ser uma carteira compartilhada em família.
A força está na combinação. Quando 217 contas compartilham impressões digitais de TLS, endpoints de carteira, templates de fontes, resoluções de tela, padrões de mouse e temporização comportamental — a probabilidade de independência colapsa para zero.
O que a plataforma fez
Após a análise retroativa, a plataforma implementou pontuação em tempo real na criação de contas. Cada conta nova recebia um score de similaridade contra as contas existentes com base nos 11 sinais mais outros 40. Acima do limiar, as contas eram sinalizadas para revisão manual antes da elegibilidade ao bônus. Abaixo do limiar, as contas seguiam normalmente.
Em 60 dias, a razão de abuso de bônus voltou à linha de base. O operador ou migrou para outra plataforma ou investiu significativamente mais em sua infraestrutura — qualquer um dos desfechos era uma vitória.
O padrão se generaliza
O ferramental específico muda. Os sinais evoluem. Mas a dinâmica subjacente — operadores profissionais de fraude montando infraestrutura para extrair valor de programas de aquisição generosos — é estável em iGaming, exchanges de cripto, fintechs fortes em promoções e qualquer plataforma que pague pela aquisição de usuários.
A única defesa que funciona é a correlação de sinais no nível da plataforma. Defesas de perímetro (bloqueios de IP, bloqueios de dispositivo, regras de conta única) falham porque os operadores se otimizam contra elas. A correlação de sinais funciona porque os operadores não conseguem randomizar tudo de forma barata — o custo da independência verdadeira por conta excede o retorno por conta.
Essa lacuna é o que torna a detecção de multicontas economicamente viável. É também o que faz dela um jogo que o defensor pode vencer.