O Google entrou com uma ação civil contra um grupo de crimes cibernéticos com sede na China, identificado como Outsider Enterprise, alegando que o grupo explorou seu sistema Gemini AI para operações de phishing. A ação, movida em 12 de junho de 2026, afirma que a Outsider Enterprise usou o Gemini para gerar sites de phishing e enviar milhões de mensagens de texto fraudulentas para usuários do Android enquanto se fazia passar por marcas conhecidas, incluindo Google, YouTube e os Correios dos EUA.
A reclamação descreve as operações do grupo como uma forma industrializada de phishing como serviço. Em maio, a Outsider Enterprise teria enviado cerca de 2,5 milhões de mensagens fraudulentas para usuários do Android, resultando em aproximadamente 55.000 reclamações de spam apresentadas contra a operação. O Google também identificou cerca de 9.000 sites falsos e mais de 1 milhão de URLs fraudulentos conectados ao grupo.
De acordo com um blog de segurança detalhado do Google, membros da Outsider Enterprise usaram o Gemini para gerar código personalizado para páginas de destino de phishing. Essas páginas foram projetadas para imitar ofertas legítimas, como resgates de presentes e verificações de contas. A plataforma da operação oferecia centenas de modelos e documentação prontos, permitindo que até mesmo usuários não técnicos lançassem campanhas de phishing em larga escala.
O FBI colaborou com o Google e pesquisadores de segurança para apreender vários domínios e vitrines usados pela Outsider Enterprise para conduzir suas atividades de phishing. Além disso, o Google está trabalhando com as principais operadoras AT&T, T-Mobile e Verizon para bloquear o tráfego fraudulento e empregando sistemas de detecção baseados em IA para interceptar mensagens maliciosas antes que cheguem aos usuários.
No processo, o Google acusa a Outsider Enterprise de vários crimes, incluindo extorsão, fraude eletrônica e violação de marca registrada. A empresa busca medida cautelar e indenização visando desmantelar a infraestrutura do grupo. O Google solicita ordens judiciais para confiscar ou bloquear a infraestrutura principal usada para hospedar e publicar páginas fraudulentas e para restringir a capacidade do grupo de criar novos sites de phishing.
Agências federais, incluindo o Serviço de Inspeção Postal dos EUA, emitiram alertas sobre táticas comuns de smishing, como alertas falsos de rastreamento de pacotes e mensagens financeiras urgentes. Eles recomendam que os usuários evitem clicar em links em textos inesperados e evitem compartilhar informações pessoais. Os usuários são aconselhados a denunciar mensagens suspeitas encaminhando-as para 7726 (SPAM) e registrando reclamações junto à FTC.
Os especialistas observam que este caso destaca o potencial uso indevido da IA generativa para facilitar fraudes em grande escala. O processo representa um teste inicial de como o sistema jurídico irá lidar com atividades criminosas assistidas por IA, potencialmente moldando futuros litígios e regulamentações relativas a fraudes automatizadas. O Google pretende impedir que a Outsider Enterprise publique páginas fraudulentas e reduzir o número de mensagens maliciosas que chegam aos dispositivos dos usuários.
