CaiuNoGolpe
Phishing

Recebi um link suspeito: como verificar se é golpe

Links de phishing chegam por SMS, WhatsApp e e-mail imitando bancos, Correios, Receita Federal e lojas. Antes de clicar — ou se já clicou — siga este checklist.

O que fazer passo a passo

  1. Primeiro

    Não clique no link ainda

    Antes de qualquer ação, pare. Copie o link para análise se necessário, mas não clique. Links de phishing podem instalar malware apenas com o clique, mesmo sem você digitar nada.

  2. Verifique

    Confira o remetente com atenção

    O número ou endereço de e-mail que enviou o link é reconhecível? Verifique o domínio completo do remetente — golpistas usam endereços parecidos mas diferentes (ex: suporte@bradesc0.com em vez de bradesco.com.br).

  3. Analise

    Inspecione a URL antes de clicar

    No desktop: passe o mouse sobre o link para ver a URL real na barra de status. No celular: segure o link até aparecer o endereço completo. Verifique: o domínio principal é o oficial? Há subdomínios estranhos? (ex: banco.com.site-falso.com — o domínio real é site-falso.com).

  4. Analise

    Teste o link em ferramenta de segurança

    Cole a URL no VirusTotal (virustotal.com) ou no Google Safe Browsing Transparency Report. Essas ferramentas verificam se o link é conhecido como malicioso sem que você precise acessar o site.

  5. Se clicou

    Clicou mas NÃO inseriu dados? Monitore o dispositivo

    O risco é menor, mas possível. Verifique apps instalados recentemente no celular. Execute uma varredura com antivírus. Monitore seu e-mail e contas por logins suspeitos nas próximas 24–48h.

  6. Se clicou

    Clicou E inseriu dados? Aja imediatamente

    Troque as senhas das contas afetadas agora, preferencialmente de outro dispositivo. Se inseriu dados bancários ou do cartão: ligue para o banco e bloqueie. Monitore extratos. Registre B.O.

  7. Denuncie

    Reporte o link malicioso

    Denuncie em: Google Safe Browsing (safebrowsing.google.com/safebrowsing/report_phish/), CERT.br (cert.br/reportar). No WhatsApp: abra a conversa > três pontos > Denunciar. No e-mail: marque como phishing no seu provedor.

🔍 Como identificar uma URL falsa

  • Typosquatting: bancobras1l.com, mercadol1vre.com
  • Subdomínio falso: banco.com.site-malicioso.com (domínio real = site-malicioso.com)
  • Extensão suspeita: correios.com.br.link-click.xyz
  • HTTP sem S: http:// em vez de https://
  • URL legítima: https://bradesco.com.br/...

Perguntas frequentes

Cliquei no link mas não digitei nada. Estou em risco?

O risco é menor, mas real. Alguns sites maliciosos exploram vulnerabilidades do navegador só com o acesso. Verifique apps instalados recentemente, execute um antivírus e monitore suas contas por 48h.

Como reconheço uma URL falsa?

Sinais comuns: erros de digitação (bancobras1l.com), subdomínios suspeitos (banco.com.site-falso.com — o domínio real é site-falso.com), domínio diferente do esperado, extensão estranha (.xyz, .click), ou HTTP sem 'S' no início.

Banco ou Correios mandam links por SMS?

Raramente, e nunca para solicitar dados ou pagamentos. Bancos comunicam por app e e-mail cadastrado. Correios notificam por app ou site oficial. Qualquer SMS com link pedindo ação urgente deve ser tratado como suspeito.

O VirusTotal é confiável para verificar links?

Sim, é uma das ferramentas mais respeitadas. Ele agrega análises de mais de 70 serviços de segurança. Mas um resultado 'limpo' não garante 100% de segurança — links muito novos podem não estar catalogados ainda.

Meu antivírus não alertou. Isso quer dizer que é seguro?

Não necessariamente. Antivírus pode não detectar sites de phishing novos. Desconfie da aparência do site e verifique a URL manualmente — essa é a verificação mais confiável.

Já caiu no golpe?

Use o guia de emergência ou gere o texto do B.O.

Guia de emergência →Gerar texto para B.O. →
← Ver golpe do link falso (phishing)