Como identificar links de phishing?

18 de jun. de 2026

Links de phishing se disfarçam de fontes confiáveis para induzir o usuário a clicar e revelar chaves privadas ou a frase de recuperação. Saber identificá-los é a primeira linha de defesa na proteção de ativos criptográficos.

Por que isso importa

Ataques de phishing são uma das principais causas de perda de ativos no universo cripto. O guia de phishing da OWASP define: phishing é uma técnica de engenharia social em que o invasor se faz passar por uma entidade confiável para enganar a vítima e fazê-la fornecer informações sensíveis ou realizar ações perigosas. No contexto Web3, um único clique pode levar diretamente ao roubo da carteira, sem que nenhuma instituição possa intervir para recuperar os ativos.

Mecanismo central / conceitos-chave

  1. Typosquatting (imitação de domínio) Invasores registram domínios muito semelhantes ao oficial, explorando a desatenção visual do usuário. Por exemplo:
  • onekey.so (oficial) vs. onekey.so.phishing-site.com (falso)
  • Uso de caracteres visualmente semelhantes: 0 (zero) substituindo o (a letra), 1 (um) substituindo l (L minúsculo)

  1. Envenenamento de anúncios em buscadores Invasores compram espaços de anúncios no Google e outros buscadores. Quando o usuário pesquisa "MetaMask download" ou "OneKey site oficial", o site falso aparece no topo dos resultados. O usuário clica no anúncio em vez do resultado orgânico e acessa o site de phishing.

  2. Contas falsas em redes sociais Contas que imitam perfis oficiais no Twitter/X, Discord e Telegram publicam conteúdos como "resgate de airdrop", "atualização urgente de segurança" e "migração de frase de recuperação" para atrair usuários a sites de phishing.

  3. Phishing por e-mail E-mails disfarçados de corretoras ou provedores de carteiras informam que há anomalias na conta ou que é necessária uma verificação, com links redirecionando para páginas falsas.

  4. Substituição de QR codes Em ambientes físicos, invasores substituem QR codes legítimos por versões que apontam para links de phishing — ao escanear, o usuário é levado diretamente ao site falso.

Método 1: verifique o URL completo Inspecione cuidadosamente o domínio na barra de endereço do navegador, prestando atenção especial a:

  • Se o domínio principal está completamente correto (atenção à grafia e substituição de caracteres)
  • Se o site usa HTTPS (mas HTTPS por si só não garante que o site seja confiável)
  • Se a estrutura de subdomínios faz sentido (app.onekey.so é o formato oficial; onekey.so.app.malicious.com é uma imitação)

Método 2: não clique em links de e-mail ou mensagens Crie o hábito de digitar o domínio oficial diretamente no navegador ou use favoritos para acessar os DApps que você usa com frequência — evite acessar via links de e-mails, mensagens no Discord ou posts no Twitter.

Método 3: verifique pelos canais oficiais Qualquer operação que exija "verificar a frase de recuperação", "migrar ativos" ou "atualização urgente" deve ser verificada pelo site oficial (como o site da OneKey) ou pelo aplicativo oficial — nunca responda diretamente a links de origem suspeita.

Método 4: use ferramentas de detecção de phishing Os principais navegadores têm proteção básica contra phishing integrada; algumas extensões de segurança oferecem bloqueio adicional por banco de dados de domínios maliciosos. Carteiras como MetaMask integram serviços de lista negra como o PhishFort.

Método 5: passe o mouse sobre o link antes de clicar Antes de clicar, passe o cursor sobre o link e verifique o URL real na barra de status na parte inferior do navegador — confirme se corresponde ao texto exibido.

Casos de uso

Cenário A: golpe de airdrop no Discord O usuário recebe uma mensagem privada em um grupo Discord de projeto NFT: "Parabéns, você ganhou whitelist — acesse [link] em até 24h para resgatar." O link aponta para uma página fake de mint que solicita conexão com a carteira e assinatura de um contrato malicioso.

Como identificar: projetos oficiais não enviam notificações de whitelist por mensagem privada. Acesse diretamente o canal de anúncios oficial do Discord para verificar.

Cenário B: anúncio patrocinado no buscador O usuário pesquisa "Uniswap trading", clica no primeiro resultado que aparece (um anúncio), entra em uma página falsa e, ao conectar a carteira, é solicitado a assinar um "contrato de autorização".

Como identificar: resultados marcados como "Anúncio" ou "Ad" nos buscadores exigem atenção redobrada. Use favoritos ou digite manualmente o URL verificado.

Cenário C: golpe de "sincronização" de frase de recuperação O site de phishing exibe um pop-up afirmando "Detectamos que sua carteira precisa ser sincronizada — insira sua frase de recuperação para restaurar o acesso".

Como identificar: nenhum site precisa que você insira a frase de recuperação. Ela só é usada localmente para restaurar a carteira — nunca deve ser digitada online.

Como acessar no OneKey App

O OneKey App conta com múltiplos mecanismos antiphishing integrados:

  1. Alerta de domínio suspeito: ao conectar a um DApp, verifica automaticamente se o domínio está em listas negras de phishing conhecidas e exibe um aviso caso esteja.
  2. Favoritos: salve os endereços dos DApps que você usa com frequência dentro do aplicativo e acesse sempre por esses favoritos, eliminando o risco de links falsos.
  3. Conteúdo de transação legível: exibe um resumo legível das operações no momento da assinatura, ajudando o usuário a avaliar se o conteúdo da autorização corresponde ao esperado.

Riscos e cuidados

  • A frase de recuperação nunca deve ser digitada em nenhuma página web: não importa o quão convincente seja a aparência da página — qualquer site que solicite a frase de recuperação é phishing.
  • HTTPS não equivale a segurança: invasores podem obter certificados SSL válidos para sites falsos. HTTPS indica apenas que a conexão é criptografada, não que o site é confiável.
  • O time oficial nunca solicita chaves privadas: qualquer conta que afirme ser o suporte oficial e peça a chave privada ou frase de recuperação é fraude.
  • A urgência é um sinal de alerta: ataques de phishing frequentemente criam senso de urgência com "resgate por tempo limitado" ou "ação urgente necessária" — qualquer mensagem com esse tom merece suspeita redobrada.

FAQ

P: Conectei minha carteira a um site de phishing — o que devo fazer? R: Acesse imediatamente o Revoke.cash para verificar e revogar todas as autorizações relacionadas. Em seguida, transfira os ativos para um novo endereço. Se você assinou alguma transação, verifique o histórico on-chain para confirmar se houve perda de ativos.

P: O site de phishing parece idêntico ao oficial — como distinguir? R: O único método confiável é verificar o domínio completo na barra de endereço do navegador. A aparência visual da página não pode servir como critério de confiança.

P: O celular é mais seguro do que o computador? R: Não necessariamente. Os navegadores de celular geralmente ocultam o URL completo, tornando mais difícil verificar o domínio. Recomenda-se usar clientes dedicados como o OneKey App para acessar DApps no celular.

P: Como denunciar um site de phishing? R: Você pode denunciar domínios maliciosos ao Google Safe Browsing, Cloudflare e outros serviços. Também pode comunicar ao canal oficial da comunidade do projeto alvo para alertar outros membros.

Aja agora

Identificar links de phishing é uma habilidade que se desenvolve com prática deliberada. A partir de agora, adicione o site oficial da OneKey aos seus favoritos, baixe o OneKey App e acesse periodicamente o Revoke.cash para auditar as autorizações da carteira — transformando boas práticas de segurança em rotina.

Proteja sua jornada criptográfica com o OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

A carteira de hardware mais avançada do mundo.

View details for Baixar aplicativoBaixar aplicativo

Baixar aplicativo

Alertas de golpe. Todas as moedas suportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Clareza Cripto—A uma chamada de distância.