Phishing em cripto é um golpe em que criminosos se passam por uma empresa, pessoa ou serviço confiável para roubar suas senhas, frase-semente (seed phrase) ou autorizar transações na sua carteira. Diferente do phishing bancário comum, no mundo cripto não existe estorno: se você assina uma transação maliciosa ou entrega sua seed phrase, o dinheiro vai embora e ninguém devolve. Por isso, entender como o golpe funciona é a sua principal linha de defesa.

Aqui no Jornal Cripto a gente acompanha esses ataques de perto, e a regra de ouro é simples: ninguém legítimo nunca vai pedir sua frase-semente. Nunca.

O que é phishing em cripto?

Phishing (do inglês fishing, "pescar") é a tentativa de te "fisgar" com uma isca: um e-mail, mensagem, site falso ou anúncio que imita algo real. O objetivo é fazer você entregar voluntariamente uma informação sensível ou clicar onde não deve.

No contexto cripto, o alvo costuma ser um destes três:

• Sua seed phrase (as 12 ou 24 palavras que recuperam sua carteira)
• Suas credenciais de exchange (login, senha e às vezes o código 2FA)
• A sua assinatura on-chain (aprovar uma transação que dá acesso aos seus tokens)

Por que cripto é alvo preferido?

Porque as transações são irreversíveis e, em carteiras self-custody, não existe suporte para reverter nada. Some isso ao fato de muita gente entrar no mercado sem entender como custódia funciona, e você tem o cenário perfeito para golpistas.

Quais são os tipos mais comuns de phishing em cripto?

Sites falsos (typosquatting)

O criminoso registra um domínio parecidíssimo com o original, trocando uma letra ou usando outro final (`.com` vs `.net`). Você digita errado ou clica num anúncio patrocinado no Google, conecta sua carteira e assina uma transação que esvazia seus fundos.

Falsos suportes e DMs

Você posta uma dúvida num grupo de Telegram ou Discord e, em segundos, recebe DM de um "suporte oficial" oferecendo ajuda. É golpe em 99% dos casos. Suporte de verdade não chama você na DM primeiro.

Airdrops e tokens fantasma

Aparece um token estranho na sua carteira prometendo resgate em um site. Ao tentar "resgatar", você assina um contrato malicioso. Regra: token que você não comprou e não conhece, não interaja.

Aprovações maliciosas (approval phishing)

Esse é o mais sofisticado. Você não entrega senha nenhuma, apenas assina uma aprovação que dá permissão ilimitada para um contrato gastar seus tokens. Depois, o atacante saca tudo quando quiser.

E-mails clonados de exchange

Um e-mail idêntico ao da Binance, Coinbase ou da sua corretora avisa de um "login suspeito" e pede que você "verifique sua conta" num link. O link leva a uma página de login falsa.

Como se proteger de phishing em cripto?

A defesa é uma combinação de hábito e ferramenta. Aplique todas:

• Nunca digite sua seed phrase em lugar nenhum online. Ela só existe no papel e no setup inicial da carteira. Site, formulário ou app que pede a seed é golpe, ponto final.
• Salve os sites nos favoritos e acesse só por lá. Não clique em links de e-mail, anúncio ou DM para entrar na exchange ou na carteira.
• Ative 2FA em todas as exchanges, de preferência com app autenticador, não SMS. Veja como em nosso guia sobre como ativar 2FA na sua exchange.
• Use uma hardware wallet para valores maiores. Mesmo com o computador infectado, a assinatura precisa ser confirmada no dispositivo físico.
• Revise as aprovações de contratos periodicamente em ferramentas como o Revoke.cash e revogue permissões antigas.
• Desconfie de urgência. "Sua conta será bloqueada em 1 hora" é gatilho clássico de phishing para você agir sem pensar.
• Confira o domínio caractere por caractere antes de conectar a carteira.

Como saber se um site é falso?

Olhe a barra de endereço com calma. Cadeado verde não significa segurança: sites falsos também têm HTTPS. Verifique se a URL está exatamente certa, desconfie de domínios novos e jamais confie em links patrocinados no topo da busca, que golpistas compram com frequência.

O que fazer se você caiu num phishing?

Aja rápido:

• Se foi numa exchange: troque a senha imediatamente, ative ou reconfigure o 2FA e contate o suporte oficial (pelo app, nunca por links recebidos).
• Se foi na sua carteira self-custody: transfira o que sobrou para uma carteira nova e segura antes de qualquer outra coisa, pois a comprometida não é mais confiável.
• Revogue todas as aprovações suspeitas de contratos.
• Documente tudo (prints, hashes de transação) para registro e eventual boletim de ocorrência.

Vale lembrar: na maioria dos casos não há recuperação dos fundos. A prevenção é tudo.

Perguntas frequentes

A exchange ou a carteira pode pedir minha seed phrase para "verificar" a conta? Não. Nunca, em nenhuma hipótese. Qualquer pedido de seed phrase é golpe, mesmo que pareça vir de um canal oficial.

Phishing só acontece por e-mail? Não. Hoje a maioria vem por DM no Telegram, Discord e X (Twitter), anúncios patrocinados no Google e sites clonados. O canal mudou, a lógica é a mesma.

Usar carteira de navegador é seguro? É conveniente, mas mais exposto. Para valores relevantes, combine com uma hardware wallet e mantenha um valor pequeno na carteira "quente" do dia a dia.

O que é approval phishing? É quando você assina uma aprovação que dá a um contrato permissão para gastar seus tokens. Você não perde a seed, mas o atacante consegue sacar. Revise e revogue aprovações regularmente.

Antivírus protege contra phishing cripto? Ajuda contra malware, mas não impede que você mesmo assine uma transação maliciosa. A defesa principal continua sendo o seu hábito de verificação.

Conclusão

Phishing em cripto explora confiança e pressa, não falhas técnicas complexas. Se você internalizar três hábitos, evita a esmagadora maioria dos golpes: nunca compartilhe a seed phrase, acesse serviços só por favoritos salvos e desconfie de qualquer urgência. Combine isso com 2FA forte e uma hardware wallet para valores maiores, e seu patrimônio fica protegido. Para acompanhar preços e o mercado com segurança, confira os preços ao vivo no Jornal Cripto e continue aprendendo na nossa seção aprenda.