Phishing

Imagem de um anzol segurando uma moeda preta com rosto vermelho ameaçador, representando um golpe de phishing. Ao fundo, o logo da Klever e o texto: “Phishing – Como proteger suas criptomoedas contra Golpes de Phishing”. Fundo preto e vermelhoOs ataques de phishing continuam sendo uma das ameaças mais enganosas e prejudiciais na web3.

 

Diferente de invasões diretas a exchanges ou carteiras, o phishing se baseia em manipulação psicológica para enganar usuários e levá-los a entregar informações sensíveis, como chaves privadas, frases-semente e dados de login.

 

As consequências são severas. Uma vez que um atacante obtém acesso aos fundos, o roubo geralmente é irreversível.

 

Seja por sites falsos, e-mails fraudulentos ou golpes de personificação, os ataques de phishing continuam evoluindo, tornando-se cada vez mais difíceis de identificar e mais fáceis de cair.

 

Este guia vai te equipar com o conhecimento necessário para reconhecer tentativas de phishing, proteger seus ativos e agir imediatamente caso se torne um alvo de golpes com criptomoedas.

 

O Que São Golpes de Phishing? 

Phishing é a forma mais comum de crime cibernético, com mais de 3,4 bilhões de e-mails de spam enviados diariamente. Esses ataques visam roubar informações sensíveis ao se passar por uma fonte confiável.

 

Diferente de invasões técnicas, o phishing se baseia na enganação. Hackers se fazem passar por plataformas, equipes de suporte ou influenciadores para manipular usuários e levá-los a revelar informações confidenciais.

As transações são irreversíveis, e os fundos perdidos são quase impossíveis de recuperar.

 

No mundo cripto, golpes de phishing geralmente têm como alvo carteiras, exchanges e plataformas DeFi, enganando usuários para que revelem chaves privadas ou assinem transações maliciosas.

 

Estatísticas de Phishing e Fraudes de Identidade

O phishing é a forma mais comum de crime cibernético no mundo, com mais de 3,4 bilhões de e-mails de spam enviados diariamente. 

 

O Google bloqueia cerca de 100 milhões de e-mails de phishing por dia, e 48% de todos os e-mails em 2022 foram classificados como spam.

 

Esses golpes não afetam apenas indivíduos. 83% das empresas no Reino Unido atacadas em 2022 relataram que a fraude foi via phishing. Na Ásia, o phishing também foi o ataque mais frequente em 2021.

 

As perdas financeiras podem ser devastadoras. O custo médio de uma violação de dados ultrapassa US$4 milhões, e golpes direcionados a executivos (“whaling”) podem causar perdas de até US$47 milhões. 

 

Millennials e usuários da Geração Z são os mais visados, e mais de 20% dos e-mails de phishing se originam da Rússia, mostrando o alcance global da ameaça.

 

Na América Latina, as fraudes de identidade em plataformas de criptomoedas aumentaram 50% em 2024, superando a média global, segundo o relatório State of the Crypto Industry 2025, da Sumsub.

 

O Brasil, porém, registrou a menor taxa global de fraudes, com apenas 0,7% dos casos, graças à regulação inovadora e ao uso de tecnologias como a verificação de identidade sem documentos (KYC Doc-Free), que agiliza e torna mais seguro o processo de validação.

 

Outro dado preocupante: 76% das tentativas de fraude ocorrem após a etapa inicial de verificação, reforçando a necessidade de monitoramento contínuo e uso de inteligência artificial para detectar comportamentos suspeitos em tempo real diz especialista ao CoinTelegraph Brasil

 

Por Que Usuários de Cripto São Alvos? 

As transações em cripto são definitivas. Se um golpista conseguir acessar seus fundos, eles estão perdidos — sem reembolso, sem estorno. A natureza descentralizada das criptomoedas significa que não há intermediários, como nos bancos tradicionais.

 

Usuários lidam com várias plataformas — exchanges, carteiras, apps DeFi e NFTs — o que gera vários pontos de exposição. Qualquer clique, login ou assinatura pode ser uma brecha se feita sem cautela.

 

Como Funcionam os Golpes de Phishing na Web3

Infográfico sobre ataques de phishing com dicas de segurança para proteger dados e evitar golpes online em criptomoedas.
(Infográfico com Dicas de Segurança sobre Phishing – Fonte: Divisão de Segurança da Informação UFRJ)

Um dos maiores riscos de phishing em cripto são contratos inteligentes falsos (smart contracts). Golpistas fazem com que usuários assinem contratos maliciosos que dão permissão para gastar todos os fundos, permitindo que a carteira seja drenada.

 

Esses golpes aparecem em airdrops falsos, dApps enganosos ou plataformas DeFi fraudulentas. Sempre revise o contrato antes de assinar e use carteiras que alertam sobre transações suspeitas.

 

Outras táticas de phishing incluem:

  • Sites Falsos: cópias de exchanges ou apps de carteiras
  • Suporte Falso: atendimento fake por e-mail, Telegram ou Discord
  • QR Codes Falsos (Quishing): redirecionam para sites falsos

Tipos Comuns de Phishing em Cripto 

A visual chart listing common phishing signature methods in crypto, including token-related actions like increase allowance and swap, NFT platforms like Seaport and Blur, general methods like eth_sign, and techniques like fake captcha pages and simulation spoofing. Created by ScamSniffer
(Identificando tentativas de Phishing em cripto – Fonte: Relatório do SlowMist)

 

Golpistas usam métodos diversos para enganar usuários a aprovar transações ou compartilhar dados sensíveis:

  • Aprovação de tokens falsos
  • Transferências não autorizadas
  • Solicitações de assinatura disfarçadas

 

Golpes com NFTs, captchas falsos e contratos disfarçados também são comuns. Aprender a identificar esses golpes é fundamental para proteger seus ativos.

Checklist de Segurança: Proteja-se de Phishing

  • Verifique o remetente: e-mails e números suspeitos? Desconfie.
  • Cuidado com links: passe o mouse para ver o destino antes de clicar.
  • Evite Wi-Fi público: use VPN para operações com cripto.
  • Ative MFA: autenticação de dois fatores aumenta a segurança.
  • Nunca compartilhe dados: empresas sérias não pedem senhas por e-mail.
  • Atualize seus dispositivos: proteja-se contra vulnerabilidades.
  • Use gerenciadores de senha: senhas fortes e únicas para cada conta.
  • Fique atento: e-mails urgentes, erros de ortografia, anexos estranhos.

Dica de Segurança

  • Use filtros anti-spam
  • Confirme HTTPS e certificado SSL nos sites
  • Fique ligado nas redes sociais: verifique fontes oficiais e cuidado com o “arrasta pra cima”

O Que Fazer Se For Vítima de Phishing

  • Desconecte seu dispositivo da internet
  • Transfira os fundos remanescentes para carteira segura
  • Altere senhas e ative a verificação de segurança em múltiplas etapas
  • Denuncie para sua exchange e autoridades
  • Monitore a blockchain para atividades suspeitas

Exemplos Reais de Phishing

Golpe de Phishing no Etherscan

Resultados de busca mostrando dois links do Etherscan—um legítimo (etherscan.io) e outro de phishing (et-herscan-web.com)—destacando a importância de verificar URLs para evitar golpes com criptomoedas
Site falso do EtherScan em tentativa de Phishing

Golpistas inseriram pop-ups falsos no Etherscan, pedindo conexão com MetaMask para promoções falsas. Sites clonados e códigos QR redirecionaram vítimas a contratos que drenaram carteiras.

Golpes de phishing ligados ao Etherscan resultaram no roubo de US$ 300 milhões de 324 mil usuários em 2023 e mais US$ 104 milhões de 97 mil usuários no início de 2024, com perdas individuais que variaram entre US$ 300 mil e US$ 55 milhões. Em agosto de 2024, houve um aumento de 215% nesses ataques, com 9.100 vítimas perdendo US$ 66 milhões por meio de anúncios falsos, sites clonados e contratos maliciosos.

 

Tentativa de Phishing na Ledger 

Esses e-mails fraudulentos orientavam os destinatários a visitar um site de phishing e inserir sua frase de recuperação de 24 palavras para “proteger” suas carteiras.

Após capturar essas frases, os golpistas obtinham acesso total às carteiras de criptomoedas das vítimas.

É difícil mensurar o valor exato roubado nesses ataques de phishing, já que muitos casos não são reportados.

No entanto, alguns episódios ilustram o impacto financeiro significativo:

  • Roubo de XRP: Em novembro de 2020, mais de 1,15 milhão de XRP (cerca de US$ 280 mil na época) foram roubados de usuários da Ledger por meio de ataques de phishing com domínios falsos que imitavam o site oficial da empresa.
  • Incidente de dezembro de 2023: Uma falha em uma biblioteca de conexão da Ledger resultou em quase US$ 500 mil em perdas, aumentando ainda mais a desconfiança dos usuários.

 

Phishing email impersonating Ledger support, falsely claiming the user's wallet is suspended due to suspicious activity and urging them to click a link labeled "Restore Wallet" to regain access.
(Email falso da Ledger – Fonte: PC Risk)

Ataque Phishing na Uniswap 

Screenshot showing Binance CEO CZ’s tweet about a suspected exploit on Uniswap V3 involving 4295 ETH stolen and laundered via Tornado Cash, alongside a chat confirming it was a phishing attack and not a smart contract issue
[CZ ( EX CEO Binance) alerta o time da Uniswap sobre phishing – Fonte: Hackread]
Em 2022, golpistas enviaram tokens falsos para mais de 70 mil usuários. As vítimas foram levadas a sites fraudulentos, onde assinaram transações que drenaram suas carteiras.

 

Golpes de Phishing na MetaMask 

Usuários da MetaMask têm sido frequentemente alvo de golpistas que se passam por representantes de suporte, explorando redes sociais como Twitter, Telegram e Discord.

Esses criminosos entram em contato com as vítimas oferecendo ajuda falsa e solicitam chaves privadas ou frases-semente sob o pretexto de “verificar contas” ou “resolver problemas”. Uma vez em posse dessas informações, os golpistas esvaziam as carteiras das vítimas, sem possibilidade de recuperação dos fundos. Sempre verifique a autenticidade de qualquer site ou aplicativo antes de inserir dados sensíveis.

Um dos ataques mais sofisticados ocorreu em 2024, quando golpistas usaram anúncios falsos no Google Play para promover versões clonadas do aplicativo da MetaMask. Usuários desavisados que baixaram esses aplicativos fraudulentos e inseriram suas frases de segurança entregaram, sem saber, o controle total de seus fundos.

Apesar dos alertas constantes da MetaMask e de seus comunicados de segurança, os golpistas continuaram registrando novos domínios e distribuindo aplicativos falsos para burlar a detecção.

Screenshot of a phishing email impersonating MetaMask, warning users of wallet suspension and prompting them to verify through a fraudulent link, with suspicious sender address highlighted
Tentativa de Phishing usando a nome da carteira Metamask – Fonte: Kaspersky)

 

A MetaMask, Ledger, Uniswap ou a Klever nunca vão pedir sua frase de segurança ou chaves privadas. Esteja sempre alerta e jamais revele suas senhas a terceiros. 

 

Site de phishing imitando a MetaMask, solicitando que os usuários insiram sua frase de recuperação, com uma URL suspeita destacada no topo do navegador.
(Site falso solicitando a frase de segurança de usuários da Metamask – Fonte: Kaspersky)

De olhos bem abertos na Web3 

As estratégias de phishing continuarão evoluindo. Mas com informação e cautela, você pode evitar ser mais uma vítima e entrar para as estatísticas dos golpistas. 

  • Não use Wi-Fi público para transações
  • Confira URLs e remetentes
  • Use autenticação de dois ou mais fatores
  • Nunca compartilhe sua frase de segurança ou chaves privadas
  • Se parece bom demais para ser verdade, é golpe

Pense Antes de Clicar. Proteja Antes de Perder.

Proteja-se. Seja Klever.