Golpes e phishing em cripto: como reconhecer os roteiros mais comuns

Aqui na redação, a gente já ouviu muitas histórias com o mesmo esqueleto: uma pessoa normalmente cuidadosa que, num momento de pressa ou na vontade de aproveitar uma vantagem, clicou no link errado ou assinou o que não devia. Golpe raramente depende de técnica sofisticada; depende de pegar você num segundo de distração. Neste artigo, coloco na mesa os golpes e esquemas de phishing mais comuns no ambiente cripto — incluindo as variantes que mais circulam no Brasil —, tipo a tipo, sempre respondendo a duas perguntas: com que cara ele aparece e como reconhecer e se defender. No final, você leva uma lista de verificação para carregar na cabeça. A ideia não é deixar você paranoico, e sim fazer você desacelerar meio segundo na hora que importa.
Por que o phishing rende tanto no mundo cripto
Golpe existe em todo lugar, mas no universo cripto ele parece mais frequente e com taxa de sucesso mais alta. Existem razões estruturais para isso, e entendê-las ajuda a levantar a guarda desde a raiz.
- Transferência irreversível, sem ninguém para socorrer. Uma transação confirmada na blockchain é definitiva: não existe estorno, bloqueio ou contestação como no banco ou no cartão. O que o golpista leva, ele leva de vez — e isso torna cripto um alvo de ótimo retorno aos olhos dele.
- Guarda própria: a chave é tudo. Muita gente guarda a própria frase-semente e a própria chave privada, e quem tem a chave movimenta todos os ativos. O golpista não precisa invadir sistema nenhum; basta convencer você a entregar a chave ou a assinar uma autorização.
- Setor novo, muita assimetria de informação. Iniciantes em quantidade, jargão em excesso, regras que mudam rápido. Quem não sabe como é o fluxo normal não estranha o fluxo anormal que o golpista inventa.
- Anonimato e fronteiras. O atacante se esconde atrás de endereços anônimos e de transferências entre países, o que dificulta muito rastreio e punição.
Somando esses pontos, a conclusão fica evidente: em cripto, a proteção contra golpe está em não morder a isca, não em correr atrás do prejuízo — porque depois que o dinheiro sai, o que dá para fazer é pouco. Nas seções seguintes, cada tipo de golpe é um arranjo diferente desses mesmos fatores.
Site falso e aplicativo falso
É a categoria mais básica e mais espalhada. O golpista monta uma cópia quase perfeita do site oficial ou do aplicativo verdadeiro para capturar seu login e senha — ou para convencer você a "importar" a frase-semente.
Por onde ele costuma chegar
- Anúncio pago no buscador: você pesquisa o nome da plataforma e o primeiro resultado, marcado como anúncio, pode ser a página falsa, com o domínio diferindo do verdadeiro em uma ou duas letras.
- Link em rede social e em grupo: alguém compartilha uma "promoção oficial" no grupo do WhatsApp ou do Telegram, e o destino é uma réplica do site.
- Aplicativo falso em loja de terceiros: ícone, nome e capturas de tela imitados com capricho; depois de instalado, o app conduz você a digitar dados sensíveis.
- Domínio sósia: trocar o por 0, l por 1, enfiar um hífen, mudar a terminação. De relance, parece igual.
Como reconhecer e se defender
- Nunca entre por anúncio nem por link recebido. Salve o endereço oficial das plataformas que usa nos favoritos e entre sempre por ali. Esse hábito corta o golpe do site sósia pela raiz.
- Confira o domínio letra por letra. Leia cada caractere e a terminação; não se contente com "parece o mesmo".
- Baixe aplicativo só pelo canal oficial. Pelo link de download do site oficial ou pela loja de aplicativos padrão do celular, conferindo o nome do desenvolvedor.
- "Importe sua frase-semente" = alerta máximo. Site sério não pede frase-semente por página web. Qualquer página que peça, trate como phishing até prova em contrário.
Um hábito que vale ouro: crie um favorito no navegador para cada uma das duas ou três plataformas que você mais usa e, dali em diante, só entre por eles. Esse gesto simples barra a maior parte dos golpes de endereço falso.
Falso suporte no WhatsApp, SMS e e-mail em nome da plataforma
O núcleo desta categoria é fingir autoridade: o golpista se passa pela plataforma, pelo suporte ou por um "setor de segurança", e usa a sua confiança no oficial contra você. No Brasil, a porta de entrada preferida é o WhatsApp.
Formas mais comuns
- O "atendente" que chama primeiro: um perfil no WhatsApp ou no Telegram com o logotipo da corretora, ou uma ligação de uma suposta "central de segurança", avisa que sua conta está "irregular", "sob análise" ou que ele pode "desbloquear ou recuperar" alguma coisa — e no meio da conversa pede senha, código de verificação, frase-semente, ou manda transferir para um endereço "de regularização". Suporte de verdade não inicia contato pedindo nada disso.
- SMS e e-mail em nome da plataforma: remetente maquiado, texto do tipo "detectamos um acesso de outro aparelho, confirme pelo link" ou "seu saque aguarda confirmação", e o link leva para uma página falsa de login muito parecida com a oficial.
- A falsa "atualização de segurança": pedem que você instale uma "ferramenta oficial de proteção" ou um aplicativo de acesso remoto "para o suporte resolver". Na prática, é trojan ou controle remoto do seu aparelho.
Pontos de identificação
- Grave uma regra de ferro: o oficial nunca pede senha, código de verificação, chave privada ou frase-semente, e nunca manda transferir para desbloquear. Quem pede isso, por mais oficial que pareça o perfil, é impostor.
- Não clique em link de SMS nem de e-mail. Para verificar qualquer aviso, abra você mesmo o aplicativo oficial ou o site salvo nos favoritos e olhe a central de notificações e o canal de atendimento lá dentro — nunca pelo caminho que a mensagem oferece.
- Não retorne a ligação nem adicione o número que a pessoa passou. O atendimento legítimo fica dentro do site oficial e do aplicativo oficial; nenhuma corretora séria resolve conta por WhatsApp de número avulso.
- Ative o código antiphishing da plataforma (quando houver). Depois de configurado, os e-mails legítimos passam a exibir a sua sequência personalizada — o e-mail forjado não consegue reproduzi-la, e a diferença salta aos olhos. O caminho de configuração está na central de ajuda oficial da OKX.
Para blindar a conta como um todo — senha, verificação em duas etapas e gestão de dispositivos —, leia junto o manual completo de segurança da conta, que monta o sistema de proteção por inteiro.
Airdrop falso e phishing de aprovação
Esta categoria exige um pouco mais de técnica do golpista e é a que mais derruba quem usa carteira própria. Merece uma explicação mais demorada.
O que é, afinal, uma assinatura de aprovação
Ao usar a carteira para interagir com um aplicativo na blockchain, você recebe pedidos de "assinatura" ou "aprovação". Um dos tipos de aprovação significa exatamente isto: você autoriza um contrato a movimentar determinado token da sua carteira. Esse mecanismo é legítimo e necessário — é assim que os aplicativos descentralizados funcionam: para usar um token dentro de um protocolo, você primeiro permite que ele o acesse. O problema é que uma aprovação maliciosa pode ser embalada para parecer completamente inofensiva.
O phishing de aprovação explora justamente isso: com o pretexto de "resgatar um airdrop", "verificar a carteira" ou "ativar a conta", induz você a conectar a carteira e assinar. Você acha que está recebendo um prêmio; na verdade, assinou uma autorização do tipo "permito que tal endereço transfira meus tokens". Depois da assinatura, o golpista drena os fundos no momento que quiser, sem que você perceba.
Iscas mais usadas
- Airdrop falso: dizem que você "tem direito" a receber certo token; basta conectar a carteira e assinar — às vezes pagando antes uma "taxa de gás" ou "taxa de ativação".
- Token desconhecido que aparece do nada na carteira: você não comprou, mas recebeu um token estranho. Ao tentar mexer nele (vender ou trocar), é induzido a assinar uma aprovação. Com token de origem desconhecida, a atitude mais segura é não tocar.
- A falsa "verificação ou sincronização de carteira": um pop-up avisa que sua carteira precisa ser verificada ou sincronizada e conduz você até a assinatura.
Como se defender
- Leia o que cada assinatura autoriza. Quando a carteira abrir o pedido de assinatura, repare no tipo de operação, no contrato envolvido e no limite autorizado. Não entendeu, ou a origem é desconhecida? Recuse.
- Desconfie de todo "assine antes / pague antes para receber o airdrop". Airdrop de verdade em geral não exige pagamento prévio nem uma aprovação capaz de movimentar seus ativos.
- Conheça e use a revogação de aprovações (revoke). As autorizações que você concedeu no passado podem ser listadas e canceladas com ferramentas de gestão de aprovações. Trate como um check-up periódico: revogar as aprovações que você não reconhece ou não usa mais reduz bastante o risco de ter fundos drenados por uma autorização antiga.
- Use uma carteira "operacional" separada para aplicativos que não conhece bem. Mantenha os valores maiores em outra carteira que nunca se conecta a nada desconhecido; se a carteira operacional for comprometida, o estrago fica contido. Essa lógica de camadas está detalhada em tipos de carteira.
Além do phishing de aprovação, conferir bem o endereço na hora de transferir é igualmente vital. Antes de sacar, passe o endereço pelo verificador de endereço — ele roda só no navegador — e leia como conferir o endereço antes de sacar: juntos, eles barram erros fatais como endereço trocado e rede errada.
Abrir o verificador de endereço →Bônus de depósito, pirâmide e "gestor de banca"
Esta categoria mira direto na vontade de levar vantagem. O roteiro é simples, mas a fila de vítimas é longa — no Brasil, ele costuma vestir a roupa de "renda diária garantida".
- Bônus de recarga / deposite e ganhe: prometem "depósito com X% de bônus agora" ou "coloque 1.000, receba 1.200" para você transferir a um endereço indicado. Depois da transferência, a pessoa some — ou exige aportes cada vez maiores para "liberar o saque".
- Intermediário "com desconto": alguém no grupo oferece "comprar cripto mais barato por canal interno" ou "câmbio especial"; você faz um Pix para a pessoa e o assunto morre ali.
- Pirâmide com verniz de investimento: o clássico esquema de "rendimento fixo garantido", muitas vezes com um "trader profissional" ou "gestor de banca" que promete multiplicar seu dinheiro, e com bônus por indicar amigos. No começo, pagam pequenos "lucros" para você aumentar o aporte e trazer gente; a estrutura é Ponzi, e quem entra por último paga a conta de todos.
Para reconhecer essa família inteira existe uma régua universal: promessa de ganho garantido, capital protegido ou retorno fixo alto — ou qualquer pedido para transferir dinheiro a uma pessoa física ou a um endereço estranho em troca de "vantagem" — é golpe até prova em contrário. Depósito e negociação em plataforma séria seguem o fluxo padrão dentro da própria plataforma; ninguém precisa de Pix por fora para "aproveitar uma condição". Como é o caminho correto de entrada e saída de dinheiro está em guia do P2P sem cair em cilada — conhecendo o fluxo normal, o anormal fica fácil de notar.
Guarde isto: dinheiro não cai do céu; o que cai do céu costuma vir com anzol. Diante de qualquer "bônus extra" ou "preço interno", devolva a pergunta — o que essa pessoa ganha me dando dinheiro? Se a resposta não fecha, não mova um centavo.
Golpe do romance: a armadilha longa, do afeto ao investimento
É a categoria de maior estrago e mais difícil de perceber, porque ela não depende de um link isolado, e sim de semanas ou meses cultivando confiança.
O roteiro típico: a pessoa aparece por aplicativo de relacionamento ou rede social e constrói um vínculo com você — o amigo que pensa igual, o interesse romântico, às vezes o "investidor experiente e bem-sucedido". Depois de muita conversa e atenção diária, o assunto desliza para "tenho ganhado bem numa plataforma" e vem o convite "generoso" para você entrar junto. No início, o valor é pequeno e o saque funciona — você prova o doce. Quando a confiança está firme e o aporte cresceu, a "plataforma" inventa motivos para segurar o saque (imposto a pagar, conta a desbloquear, verificação pendente), extraindo mais dinheiro até você não ter o que dar — e então tudo desaparece.
O que torna esse golpe tão perigoso é que cada passo foi desenhado para parecer razoável; quando a ficha cai, o valor investido já é grande. Pontos de reconhecimento e defesa:
- Desconfie por instinto de "contato da internet me chamando para investir". Afeto verdadeiro não vem amarrado a "coloca seu dinheiro naquela plataforma comigo". Quando a relação evolui para recomendação de investimento, o alarme deve tocar.
- Cuidado com o "docinho que deixa sacar". Liberar saques pequenos no começo é exatamente a técnica para comprar sua confiança e puxar aportes maiores. É a marca registrada desse golpe, não prova de seriedade da plataforma.
- Plataforma indicada por desconhecido: fora. Principalmente as que ninguém conhece, que pedem transferência por fora ou que exigem instalar aplicativo fora das lojas oficiais.
- "Pague imposto / caução para liberar o saque" é sinal vermelho. Saque legítimo não exige que você deposite mais dinheiro antes.
Clipboard trocado
Aqui o método é puramente técnico e mira um único instante: o momento em que você copia e cola um endereço.
Funciona assim: um malware fica vigiando a área de transferência do aparelho e, ao detectar que você copiou algo com cara de endereço de cripto, substitui na hora pelo endereço do atacante. Você acha que colou o endereço que tinha conferido, mas ele já foi trocado — e a transferência sai direto para o golpista. Como endereço de cripto é uma sequência longa e sem sentido que ninguém memoriza, esse ponto cego é perfeito para o ataque.
Como se defender:
- Depois de colar, compare com a fonte original, trecho por trecho. Não olhe só o comecinho e o fim — há ataques que preparam endereços com as mesmas pontas e o meio diferente. A conferência completa é a última e mais eficaz barreira.
- Mantenha o aparelho limpo. Nada de programa, extensão ou "app modificado" de origem duvidosa; é por aí que o malware de clipboard entra.
- Puder escanear, escaneie. QR code do recebedor no lugar de copiar e colar elimina o elo que o golpe explora.
- Endereço novo ou valor alto: teste pequeno antes. Envie uma quantia mínima, confirme que chegou e só então transfira o resto. É um seguro baratíssimo contra o erro mais caro.
A conferência de endereço merece atenção dedicada: o passo a passo completo está em como conferir o endereço antes de sacar, e o verificador de endereço faz a comparação por você.
Quais botões da sua cabeça o golpista aperta
Depois de ver muitos golpes, um padrão aparece: a casca muda o tempo todo, mas o miolo é sempre o mesmo — alavancas psicológicas fixas. Reconhecer essas alavancas protege mais do que decorar cada golpe, porque golpes novos não param de surgir, mas os botões humanos são sempre os mesmos.
- Urgência. "Sua conta será bloqueada em 10 minutos", "restam só 3 vagas", "resolva agora ou perderá seus fundos" — pressão de tempo para você agir antes de conferir. Quanto mais mandam você correr, mais devagar você deve ir.
- Ganância. Bônus gordo, câmbio interno, renda fixa garantida, airdrop de presente: tudo desenhado para acionar a vontade de levar vantagem. Quando ela liga, a desconfiança desliga.
- Autoridade e confiança. Fingir ser a plataforma, o suporte, o regulador, o banco — emprestar a credibilidade do oficial para desarmar você. O golpe do romance faz o mesmo com a confiança pessoal, construída antes do bote.
- Medo. "Sua conta está envolvida em irregularidade", "não colaborando, será bloqueado e responsabilizado" — o susto empurra você a obedecer.
A resposta universal: quando você se perceber com muita pressa, muita vontade ou muito medo, esse é exatamente o sinal para parar. Os momentos em que essas três emoções estão no talo são os momentos em que o golpe está funcionando. Pare dez minutos e confirme por um canal oficial: quase nenhum golpe sobrevive a esses dez minutos.
Caiu no golpe: o passo a passo de emergência
Se o pior já aconteceu — clicou no phishing, assinou a aprovação, transferiu errado ou colocou dinheiro numa plataforma falsa —, antes de tudo, a verdade: ativos transferidos na blockchain quase nunca voltam. O roteiro abaixo serve para limitar o dano e preservar provas, não para prometer o dinheiro de volta. E atenção redobrada com quem promete "recuperação garantida de 100%": é um segundo golpe, desenhado para vítimas do primeiro. Respire e siga a ordem:
- Guarde as provas. Capture de imediato: o link suspeito, as conversas, o perfil do golpista, os comprovantes de transferência e o hash das transações, as telas da plataforma falsa. Quanto mais completo o material, mais base para reportar e rastrear.
- Estanque o sangramento. Se a conta foi invadida ou a senha pode ter vazado, troque a senha a partir de um aparelho limpo, redefina a verificação em duas etapas e derrube todas as sessões ativas. Se assinou uma aprovação maliciosa, revogue-a o quanto antes com uma ferramenta de gestão de aprovações.
- Mova o que sobrou. Se a chave privada ou a frase-semente pode ter sido exposta, transfira os ativos restantes para um endereço novo, nunca exposto — começando pela parte mais valiosa.
- Reporte à plataforma. Fale com o suporte da corretora pelo canal oficial, dentro do site ou do aplicativo, apresente as provas e peça, se cabível, bloqueio ou análise de risco.
- Registre a ocorrência nos canais oficiais. Com valores relevantes, procure a delegacia — muitos estados brasileiros têm delegacia especializada em crimes eletrônicos e boletim de ocorrência online — e os canais públicos de defesa do consumidor, como o consumidor.gov.br. O registro não garante recuperação, mas alimenta investigação, alertas e rastreamento do dinheiro.
A sequência de emergência da conta em detalhe (bloquear, trocar senha, redefinir, transferir, documentar) está no manual de segurança da conta; se o que vazou foi a frase-semente da carteira própria, o procedimento está na seção de emergência de como guardar a frase-semente.
Falando com franqueza: a taxa de recuperação em golpes de cripto é baixa, sobretudo quando o dinheiro já circulou na blockchain ou cruzou fronteiras. Este roteiro existe para reduzir a perda, reunir provas e impedir que o estrago cresça — não para alimentar a ilusão do "vai voltar". O que salva de verdade é sempre aquele segundo de hesitação antes de morder a isca.
A lista para conferir antes de clicar
Passe esta lista na cabeça sempre que estiver prestes a clicar num link, assinar algo ou transferir dinheiro. Qualquer pergunta sem resposta — ou com resposta estranha — é motivo para parar.
| Situação | Pergunte a si mesmo antes de agir |
|---|---|
| Link / endereço web | Entrei pelo meu favorito ou vim por um link que me mandaram / um anúncio? |
| Conferi cada letra do domínio? Não tem caractere sósia no meio? | |
| Suporte / mensagem | Foi a pessoa que me procurou primeiro? Quem chama do nada e pede dado sensível não seria golpista? |
| Esse link de SMS / e-mail — não dá para verificar direto pelo aplicativo oficial? | |
| Assinatura / aprovação | Entendi o que esta assinatura autoriza? Qual contrato, qual limite? |
| É um "airdrop / verificação" me pedindo uma aprovação que pode mover meus ativos? | |
| Transferência / investimento | Prometeram ganho garantido / capital protegido / bônus alto? O que ganham com isso? |
| Estão pedindo Pix para pessoa física ou endereço estranho, ou "imposto / caução" antes de liberar o saque? | |
| Endereço | Comparei o endereço colado com a fonte original, trecho por trecho? A rede está certa? |
| Fiz o teste com valor pequeno antes do valor grande? | |
| Emoção | Estou com muita pressa / muita vontade / muito medo agora? Não seria o caso de parar dez minutos? |
Esta lista não é para viver desconfiando de tudo; é para instalar o hábito de pisar no freio. Quase todo golpe depende de você clicar sem pensar naquele único segundo. Criar o costume de fazer uma pergunta antes fecha exatamente a porta de que ele mais precisa.
Perguntas frequentes
Como saber rápido se um site de cripto é falso?
Não entre por anúncio de busca nem por link recebido; use o endereço oficial salvo nos favoritos e confira o domínio letra por letra. Golpistas usam caracteres parecidos, hífen a mais e outra terminação. Desconfie de qualquer página que peça frase-semente, chave privada ou assinatura imediata. Na dúvida, feche a aba e confirme pela central de ajuda oficial.
O que é phishing de aprovação e por que uma assinatura esvazia a carteira?
Algumas assinaturas feitas após conectar a carteira são autorizações para um contrato movimentar seus tokens. O phishing de aprovação disfarça essa autorização de algo inofensivo — receber airdrop, verificar identidade — e, ao assinar, você entrega a permissão de transferência. A defesa: ler o que cada assinatura autoriza, recusar conexões e assinaturas de origem desconhecida e revogar (revoke) periodicamente as aprovações que não usa mais.
Caí em um golpe. Dá para recuperar o dinheiro?
Ativos transferidos na blockchain quase nunca voltam, e ninguém pode garantir recuperação; quem promete recuperar cem por cento costuma ser um segundo golpe. O que fazer: limitar o dano rápido — guardar provas, trocar senhas, mover o restante para um endereço seguro e reportar à corretora e aos canais oficiais de denúncia da sua região. Quanto mais rápido, melhor.
O suporte oficial entra em contato pedindo código de verificação?
Não. Suporte de plataforma séria não chama no WhatsApp, não liga e não manda mensagem pedindo senha, código, chave privada ou frase-semente, nem manda transferir para desbloquear conta. Atendente que aparece do nada pedindo dado sensível ou exigindo pressa é impostor. Para verificar, entre pelo site ou aplicativo oficial; não retorne a ligação nem use o número que passaram.
O que é o clipboard trocado e como se proteger?
Um malware vigia a área de transferência e, quando você copia um endereço de cripto, troca pelo endereço do atacante; se você cola sem conferir, transfere para a pessoa errada. Defesa: comparar o endereço colado com a fonte original trecho por trecho, manter o aparelho sem aplicativos de origem duvidosa e preferir QR code a copiar e colar.
Leituras complementares e fontes oficiais
Para reforçar as defesas, estas fontes ajudam (páginas externas, abrem em nova janela): a central de ajuda e a área de aprendizado da OKX, a página de segurança do ethereum.org, o portal público consumidor.gov.br e o verbete de phishing na Investopedia. Para denúncias na sua região, valem os canais oficiais divulgados pelas autoridades locais (delegacias de crimes eletrônicos, órgãos de defesa do consumidor).