Como se proteger de golpes em sites fraudulentos na Black Friday

As fraudes em compras online atingiram um nível crítico em 2025. Dados da Serasa Experian mostram que as tentativas de golpe cresceram 22,9% no primeiro trimestre do ano em comparação com o mesmo período de 2024, o que reflete uma escalada preocupante. Segundo Thiago Guedes Pereira, CEO e fundador da DeServ Academy e da DeServ Segurança da Informação, esse avanço tem sido impulsionado pelo uso de inteligência artificial para criar sites falsos, deepfakes e campanhas enganosas em larga escala.

Como os golpistas abordam as pessoas

Golpistas que atuam em golpes de compras online costumam iniciar o contato por meio de técnicas de engenharia social. A estratégia consiste em criar situações que pressionam o usuário a agir rapidamente sem verificar a legitimidade da oferta. Links maliciosos frequentemente aparecem em anúncios patrocinados em redes sociais como Instagram, Facebook, em buscadores como o Google, além de mensagens enviadas por WhatsApp, SMS ou e-mail que imitam grandes varejistas, bancos e transportadoras. Outra tática crescente é o uso de deepfakes, vídeos e áudios criados com inteligência artificial para conferir credibilidade a promoções falsas que usam a imagem ou a voz de pessoas famosas.

Que táticas eles usam para chamar a atenção

Os golpes online têm se tornado cada vez mais sofisticados ao explorar a pressa, a emoção e a distração do consumidor. Uma das estratégias mais comuns é o uso de ofertas com descontos muito acima do normal, como 70% ou 80%, com o objetivo de induzir compras impulsivas. Para reforçar essa sensação de urgência, os golpistas utilizam contadores regressivos, alertas de “últimas unidades” e mensagens que pressionam o usuário a agir rapidamente, reduzindo sua capacidade de análise.

Outra tática recorrente é a clonagem de sites. Criminosos criam páginas quase idênticas às de lojas confiáveis, alterando pequenos detalhes do endereço (URL), como a troca de letras, erros sutis de digitação ou o uso de domínios incomuns, como .shop, .live e .app. Essas alterações passam despercebidas para muitos consumidores. Além disso, essas páginas fraudulentas geralmente limitam as opções de pagamento a Pix ou boleto, pois esses métodos não permitem contestação após a transferência, o que facilita o golpe.

Alguns fraudadores também recorrem a tecnologias avançadas, como deepfakes e clonagem de voz, para simular familiares, amigos ou influenciadores recomendando ofertas inexistentes ou solicitando pagamentos urgentes.

Para se proteger, é fundamental observar sinais de alerta críticos. O primeiro é a URL suspeita: verificar letra por letra, buscando erros de digitação, letras trocadas ou duplicadas e domínios estranhos que fogem do padrão das lojas oficiais. Outro ponto essencial é a segurança do site: páginas legítimas utilizam “https://” e exibem o cadeado na barra de endereços; se esses elementos estiverem ausentes, há risco elevado de fraude.

Preços irrealisticamente baixos também devem levantar suspeita, sobretudo quando ultrapassam 70% ou 80% de desconto, ou estão muito abaixo do valor praticado no mercado. Comparar com outras lojas confiáveis é uma maneira simples de validar a oferta. Além disso, sites sérios sempre exibem informações obrigatórias no rodapé, como CNPJ ou CPF (em caso de MEI), razão social, endereço físico, telefone de atendimento e canais reais de contato. A ausência desses dados costuma indicar falta de credibilidade.

Qual é o objetivo do golpe

Golpes que prometem dinheiro rápido ou recompensas via Pix geralmente capturam dados das vítimas por meio de cadastros ou formulários falsos. Os golpistas criam páginas que imitam sites oficiais e pedem informações como nome, CPF, endereço, telefone e até dados bancários. Ao preencher esses formulários, a vítima fornece dados suficientes para que os criminosos abram contas digitais fraudulentas, solicitem empréstimos, realizem compras indevidas ou até vendam essas informações na dark web.

Além dos formulários, alguns sites maliciosos capturam automaticamente o que a pessoa digita. Mesmo antes de concluir um cadastro, o sistema pode registrar dados de pagamento, informações do navegador, localização aproximada e características do aparelho utilizado. Em golpes mais sofisticados, tudo digitado no site pode ser registrado sem que a vítima perceba.

Em golpes relacionados ao Pix, muitas vezes não é necessário que a pessoa forneça dados bancários completos. Os criminosos criam chaves ou QR Codes falsos e induzem a vítima a fazer um pagamento com a promessa de liberar um valor maior depois, o que nunca acontece. Esses sites costumam ficar no ar apenas por poucos dias, justamente para evitar rastreamento e denúncias.

Como se proteger

Para evitar golpes digitais, além de tudo o que já foi dito, a pessoa pode adotar alguns cuidados práticos. Um deles é sempre desconfiar de qualquer oferta com preços muito abaixo do valor de mercado, pois esse tipo de apelo emocional é uma das ferramentas mais usadas por golpistas. Também é importante nunca clicar em links recebidos de desconhecidos e ter muito cuidado quando o link vem de alguém conhecido, já que contas invadidas podem enviar mensagens suspeitas. Ativar a verificação em duas etapas nas principais contas (como WhatsApp, Instagram, e-mail e serviços bancários) ajuda bastante, porque mesmo que alguém descubra a senha, não consegue entrar sem o segundo código.

Outro ponto importante é evitar pesquisar o nome de lojas no Google ou em outros buscadores, já que golpistas compram anúncios com nomes semelhantes aos de empresas reais. É mais seguro digitar o endereço diretamente ou usar o aplicativo oficial. Também vale observar se o site está usando HTTPS, o que aparece como um cadeado ao lado do endereço. Ter HTTPS não garante que um site seja confiável, mas a ausência dele é um sinal claro de que nele não é seguro.

Sobre deepfakes e propagandas falsas com celebridades, a melhor forma de verificar se um famoso realmente fez uma divulgação é ir diretamente às redes oficiais dele. Celebridades normalmente publicam parcerias em seus perfis verificados; se não houver nada lá, a probabilidade de ser falso é muito alta. Também é útil verificar se outras páginas confiáveis de notícias ou de entretenimento mencionam a parceria. Quando apenas um anúncio aleatório aparece nas redes sociais, sem nenhuma confirmação oficial, é quase certo que foi criado sem autorização. Detalhes estranhos em vídeos, como a boca se movendo fora de sincronia, sombras que não combinam ou uma voz com som “plástico”, também são sinais de deepfake. Outra forma de conferir é abrir o perfil do anunciante: golpistas costumam usar páginas recém-criadas, com poucos seguidores e sem histórico.

Quanto ao CNPJ, para pesquisá-lo, a pessoa pode acessar o site da Receita Federal e consultar gratuitamente. Lá é possível verificar se o CNPJ existe, se está ativo e quais são os dados reais da empresa, como o nome oficial e o endereço. Se algo estiver diferente do que aparece no site da loja, é um alerta de golpe. Também é possível procurar o nome da empresa em plataformas como Reclame Aqui e consumidor.gov.br para ver experiências de outras pessoas.

Por fim, o domínio é o “nome” de um site na internet, aquilo que aparece antes do “.com”, “.com.br”, “.org” e assim por diante. Em “www.lojaexemplo.com.br”, o domínio é “lojaexemplo.com.br”. Funciona como o endereço de uma casa: se você digita o endereço errado, vai parar em outro lugar, e é justamente isso que muitos golpistas tentam explorar criando endereços muito parecidos com os verdadeiros. Por isso, é essencial prestar atenção às letras trocadas, números em lugar de letras ou extensões diferentes, porque uma loja legítima poderia usar “.com.br” e o golpista poderia criar “.shop” ou “.store”, por exemplo, para imitar.

A quem denunciar

Vítimas de golpes devem registrar um boletim de ocorrência na Delegacia Virtual do estado, que possui validade legal. Em casos envolvendo compras ou relações de consumo, o Procon pode ser acionado, assim como a plataforma consumidor.gov.br, que permite registrar reclamações diretamente junto às empresas participantes. A Polícia Federal, por meio do Comunica PF, recebe denúncias de golpes de alcance interestadual ou de crimes cibernéticos. Em fraudes financeiras, é importante comunicar imediatamente a instituição bancária e registrar a reclamação no Banco Central, por meio do serviço de demandas do órgão, acessível com login gov.br. Sites suspeitos também podem ser denunciados ao Google Safe Browsing, para serem rapidamente bloqueados, e publicações em plataformas como o Reclame Aqui ajudam a alertar outros consumidores.

Para fazer esses registros, a vítima deve reunir o máximo possível de informações. Dados pessoais, como nome completo, CPF, RG, endereço, telefone e e-mail, são necessários para formalizar o boletim de ocorrência, assim como os dados da conta bancária de origem, quando houver transferência. Também é importante descrever detalhadamente como o golpe ocorreu, informando a data, o horário, o canal utilizado (WhatsApp, ligação, site, redes sociais), o tipo de golpe e como o criminoso se apresentou. Comprovantes e registros são fundamentais para a investigação: prints de conversas, anúncios, perfis, sites, e-mails, áudios, vídeos, links suspeitos, números de telefone e comprovantes de pagamento (PIX, TED, boleto, cartão). Esses elementos ajudam a identificar os criminosos, especialmente números de telefone, chaves PIX, dados bancários do recebedor e URLs utilizadas no golpe.

Também devem ser informados dados financeiros, como o valor perdido, o meio de pagamento, as instituições bancárias envolvidas, os dados ou a chave do recebedor e o identificador da transação, como o E2E ID do PIX, que é especialmente útil para rastrear o fluxo do dinheiro e solicitar o bloqueio cautelar. Qualquer informação sobre o suspeito — nome informado, CNPJ usado, foto de perfil, endereço, placas de veículo ou áudios — também pode auxiliar, mesmo que parte desses dados seja falsa. Em golpes pela internet, informações técnicas, como cabeçalhos completos de e-mails, IPs, domínios e dados de hospedagem, podem ajudar a Polícia Federal em investigações de crimes cibernéticos. Quanto mais dados forem reunidos, maiores serão as chances de identificar os responsáveis e de tentar reaver o valor perdido.

Desconfiou que é golpe? O Comprova pode ajudar a verificar: O Comprova, grupo formado por 42 veículos de imprensa brasileiros para combater a desinformação, monitora conteúdos suspeitos publicados em redes sociais e aplicativos de mensagem sobre políticas públicas, saúde, mudanças climáticas, eleições e possíveis golpes digitais e abre verificações para os conteúdos duvidosos que obtiveram maior alcance e engajamento. O SBT e SBT News fazem parte dessa aliança. Você também pode sugerir verificações: envie sua denúncia, dúvida ou boato pelo WhatsApp 11 97045-4984.

Investigação e verificação: UOL participou desta investigação. A revisão das informações foi realizada pelos veículos O Dia, Gazeta, GZH e Folha de SP

Para se aprofundar mais:

O Comprova já explicou diferentes modalidades de golpes digitais, como phishing, engenharia social, clonagem de sites e uso de deepfakes para enganar vítimas. O projeto mostrou como criminosos exploram emoções, senso de urgência e dados pessoais para induzir ações impulsivas, especialmente em situações envolvendo pagamentos por Pix ou ofertas aparentemente vantajosas

O Comprova também revelou como golpistas utilizam vídeos manipulados, biometria falsificada e táticas de engenharia social para burlar sistemas de reconhecimento facial e acessar contas bancárias ou serviços digitais. As verificações apontaram sinais que ajudam a identificar pedidos suspeitos de “validação facial” e destacaram a importância de múltiplas camadas de segurança para evitar esse tipo de fraude.