O estado do phishing em 2026
Phishing tem sido a maior fonte de perdas cripto retail todo ano desde 2018. Os números de 2026 (relatório anual do IC3 do FBI e rastreamento de adversários da Chainalysis) mostram aproximadamente 4,4 bilhões USD em fraude cripto reportada nos EUA, dos quais 73% rastreiam para caminhos de engenharia social — emails de phishing, chamadas falsas de suporte, sites falsos de recuperação, golpes de romance-investimento. No Brasil, a Febraban estima que perdas equivalentes ultrapassaram R$ 500 milhões em 2024. O número real é maior, já que a maioria das vítimas retail não registra Boletim de Ocorrência.
O atlas abaixo cataloga os padrões operando em 2025-2026. Cada seção descreve o mecanismo, nomeia um caso representativo, lista as checagens defensivas, e termina com o que fazer se você já foi atingido. O catálogo não é exaustivo — variantes novas aparecem mensalmente — mas cobre as estruturas que respondem pela maior parte da perda em peso de dólar.
Camada 1: phishing por impersonação de identidade
1.1 Contas falsas de suporte no Telegram
O mecanismo: uma conta do Telegram com nome tipo @Binance_Support_BR, selo azul de verificado (pago), e 10 mil+ seguidores comprados envia DM para o alvo. A mensagem alega que um login suspeito foi detectado; a verificação exige entrar com a seed de 12 palavras num "bot de segurança". O bot é um operador humano rodando um drainer.
Caso representativo: um holder em São Paulo, agosto 2025, perdeu 47.000 USDT para @Binance_Support_BR em nove minutos. O DM chegou horas depois de ele postar uma reclamação sobre um saque atrasado da Mercado Bitcoin no Twitter — o golpista raspou a menção pública.
Defesa: Mercado Bitcoin, Foxbit, Binance, NovaDAX, Coinbase — nenhuma delas envia DM para clientes primeiro. Jamais. Qualquer DM não-solicitada em Telegram/WhatsApp/X alegando ser suporte de corretora é golpe, independente do username ou selo de verificado. O selo azul do Telegram exige apenas 4,99 USD/mês mais um match de nome; não é um selo de legitimidade de negócio.
1.2 Números falsos de telefone via anúncios patrocinados
O mecanismo: uma busca no Google por "suporte telefone Mercado Bitcoin" retorna um anúncio patrocinado linkando para uma landing page de aparência limpa com um número 0800. O alvo liga; a voz pede email e últimos quatro dígitos do CPF, então guia o alvo através de "verificar" sua conta lendo o código TOTP do app authenticator. O drainer está agora logado.
Defesa: nenhuma corretora brasileira licenciada publica número de telefone para suporte ao cliente. Nem Mercado Bitcoin, nem Foxbit, nem Binance, nem NovaDAX. O canal único é o sistema de tickets dentro do app. Um número de telefone num resultado de busca por "[corretora] suporte" é fraudulento por definição.
1.3 Golpes de "reply-guy" no X/Twitter
O mecanismo: poste uma reclamação para @MercadoBitcoin, receba três respostas em 90 segundos de contas tipo @MercadoBitcoinSupport_BR, @MercadoBitcoinHelp_Official. Cada uma tem o logo da MB como avatar e oferece ajuda via DM. O funil do DM termina num site falso de verificação que coleta seeds.
Defesa: o username com padding ("_Support", "_Help", "_Official", "_Care", ou sufixo numérico) é falso por definição. Os nomes reais das contas são curtos e limpos: @MercadoBitcoin, @foxbit, @binance. Bloqueie toda conta lookalike que responder rápido; nunca aceite oferta de DM de uma.
Camada 2: drainers de armadilha de assinatura
2.1 setApprovalForAll em contratos NFT
O mecanismo: uma página falsa de "claim BAYC season 2" ou "verificação OpenSea" pede uma assinatura rotulada setApprovalForAll. A assinatura concede ao endereço operador permissão para transferir todo NFT que a carteira segura, ou virá a segurar, do contrato afetado. Uma vez assinada, o drainer chama transferFrom sem mais interação do usuário.
Caso representativo: um holder no Rio de Janeiro, fevereiro 2025, perdeu três Bored Apes, um Pudgy Penguin, e um Doodle (perda pelo floor 137 mil USD) em quatro minutos após assinar um prompt de "elegibilidade de claim".
Defesa: airdrops reais usam ou uma função Merkle-claim (você assina uma transação chamando claim, sem aprovação necessária) ou uma transferência direta do projeto (você não assina nada). Se uma página de "claim" pede setApprovalForAll, a página é um drainer. Recuperação: revoke.cash, imediatamente, antes do drainer mover os NFTs.
2.2 Assinaturas EIP-2612 Permit e Permit2
O mecanismo: uma DEX falsa pede uma assinatura Permit ou PermitBatch. A assinatura é gasless e parece inofensiva — nenhuma transação é transmitida no momento da assinatura. Mas concede ao endereço operador autoridade de gasto sobre os tokens assinados. O drainer chama transferFrom imediatamente após a assinatura ser retransmitida.
O pega: porque nada foi transmitido on-chain no momento da assinatura, revoke.cash não consegue detectar a ameaça pendente antes dela executar. A janela defensiva é entre a assinatura e o relay — frequentemente abaixo de um minuto.
Defesa: nunca assine um Permit, PermitSingle, ou PermitBatch numa URL que você chegou por link de Telegram, DM do Discord, ou anúncio patrocinado do Google. Só assine Permit em URLs bookmark de protocolos que você usou várias vezes antes. Se você assinou por engano, envie todos os saldos de token para uma carteira fresca mais rápido do que o drainer consegue retransmitir.
2.3 Delegações de session-key (a nova camada)
O mecanismo: um serviço falso de "proteção MEV" ou prompt de "upgrade de smart wallet" pede uma assinatura de session-key. Session keys, introduzidas pelo EIP-7702 e upgrades relacionados ao Ethereum, delegam autoridade de assinatura para um endereço terceiro por um escopo e duração especificados. Uma delegação maliciosa de session-key dá ao operador a habilidade de assinar transações da sua carteira pela próxima hora, dia, ou indefinidamente.
Defesa: proteção MEV legítima (Flashbots Protect, MEV Blocker, Cowswap) não exige delegação de session-key. Funciona mudando o endpoint RPC, não delegando autoridade de assinatura. Qualquer serviço que pede uma session-key enquanto alega fornecer proteção MEV é fraudulento.
Camada 3: impersonação de software malicioso
3.1 Extensões falsas de navegador
O mecanismo: uma listagem na Chrome Web Store para "MetaMask Pro" ou "Uniswap+ Trading" com reviews comprados e um ícone polido. Uma vez instalada, a extensão lê toda página incluindo chamadas RPC da carteira, injeta script em popups da carteira, modifica endereços de destinatário antes do MetaMask confirmar, e submete assinaturas Permit pré-construídas silenciosamente.
Defesa: instale extensões de carteira de navegador apenas de links no site oficial da carteira (metamask.io, nunca busque "metamask" diretamente na Chrome Web Store). Verifique que o nome do desenvolvedor bate exatamente. Use um perfil de navegador dedicado com apenas a extensão da carteira e um ad-blocker — nada mais.
3.2 APKs móveis sideloaded
O mecanismo: um grupo de alpha no Telegram compartilha um link de download de APK para "Binance Pro Mobile" ou "Trust Wallet Plus". O usuário sideload, loga com credenciais reais, passa SMS 2FA no mesmo dispositivo. O APK encaminha cada credencial, código, e API key para o operador em tempo real. O usuário vê uma interface funcionando; o operador drena a conta.
Defesa: nunca faça sideload de um app financeiro. A Google Play Store tem problemas, mas o binário foi pelo menos escaneado. APKs do Telegram, Discord, ou Reddit pulam toda camada de proteção. Desabilite "Instalar de fontes desconhecidas" permanentemente nas configurações do Android.
3.3 Listagens falsas na App Store
O mecanismo: uma listagem da Apple App Store para "Trust Wallet" por "Trust-Wallet Inc." (um caractere diferente do real "Trust Wallet, Inc.") com 8 mil reviews comprados. O app passa na revisão se comportando normalmente para o revisor; sobe a seed phrase para o servidor do operador apenas quando um usuário importa uma seed com saldo material.
Defesa: confira o nome do desenvolvedor no site oficial da carteira. Trust Wallet, MetaMask Mobile, e o app Coinbase Wallet (auto-custódia) todos listam seus links de App Store e Play Store diretamente em seus próprios sites .com. Clique pelo site, não o contrário.
Camada 4: engenharia social de longo prazo
4.1 Pig butchering ("杀猪盘")
O mecanismo: um match romântico ou de amizade no Tinder, Hinge, Facebook, ou LinkedIn. Semanas a meses de construção de relacionamento. Eventualmente, o "parceiro" menciona uma plataforma de trading cripto que usa pessoalmente e da qual lucrou. A plataforma é falsa — parece real, tem KYC funcional, mostra gráficos realistas. Depósitos funcionam; saques pequenos funcionam; saques grandes exigem um "imposto" ou "taxa de verificação" que é em si o golpe final.
Estimativa da indústria 2024-2025: 3,5 bilhões USD em perdas globais por pig-butchering, escaladas por compounds no Camboja, Mianmar, e Laos empregando trabalhadores traficados rodando esses scripts.
Defesa: qualquer "oportunidade de investimento" introduzida via match de dating-app ou mídia social é um golpe. Busque o nome da plataforma + "scam" antes de depositar. Nunca pague um "imposto" de saque — nenhuma corretora legítima cobra para liberar seus próprios fundos. Se você está no meio de um, pare de depositar agora e reporte na delegacia de crimes cibernéticos do seu estado.
4.2 Serviços falsos de recuperação (o golpe secundário)
O mecanismo: uma vítima de perda anterior de phishing busca "serviço de recuperação cripto" no Google. Um anúncio patrocinado leva a "ChainGuard Forensics" ou similar — site polido, parcerias com FBI alegadas, 300M USD em fundos recuperados anunciados. O serviço cobra uma "taxa de abertura de caso" antecipada mais uma porcentagem dos fundos recuperados. Depois do pagamento, o serviço pede "taxas adicionais de cooperação internacional", depois fica em silêncio.
Defesa: firmas forenses reais (TRM Labs, Chainalysis, Elliptic) trabalham com polícia e instituições grandes, não com vítimas retail. Não anunciam no Google. Qualquer "serviço de recuperação" cobrando taxas antecipadas é fraudulento. Recuperação real, quando acontece, é contingente aos fundos serem recuperados e acontece via processos de polícia, não firmas privadas.
4.3 Sorteios deepfake
O mecanismo: uma "transmissão ao vivo" do YouTube com vídeo gerado por IA de CZ, Vitalik, Elon Musk, ou Saylor anunciando um sorteio de Bitcoin. "Envie qualquer quantia para este endereço, receba 2x de volta." O vídeo entra em loop; o chat é gerado por bot com testemunhos falsos. O endereço é o drainer.
Defesa: a prova matemática. Se alguém quisesse dar cripto, transmitiria transações para endereços conhecidos. O destinatário não precisaria enviar nada primeiro. A estrutura "envie X para receber 2X" existe apenas para extrair valor do remetente. Nunca houve versão legítima dessa oferta na história da cripto.
Camada 5: ataques de hardware e supply-chain
5.1 Dispositivos pré-inicializados de segunda mão
O mecanismo: uma listagem no Mercado Livre ou OLX para um Ledger Nano X "novo na caixa" abaixo do MSRP. O vendedor pré-inicializou o dispositivo com uma seed que ele já conhece, depois reembalou cuidadosamente. O novo comprador configura o dispositivo, vê uma "seed nova" exibida na tela do dispositivo (que é na verdade a seed pré-conhecida do vendedor), abastece a carteira, é drenado semanas depois.
Defesa: compre hardware wallets apenas do site oficial do fabricante. Ledger.com, Trezor.io, Coinkite.com (para Coldcard). Nunca Amazon (mesmo "Vendido por [Marca]"), nunca Mercado Livre, nunca OLX. Se tiver que comprar usado, limpe o dispositivo entrando com o PIN errado três vezes (Ledger) ou rodando reset de fábrica (Trezor), depois reinicialize e verifique que a nova seed é diferente de qualquer inicialmente mostrada.
5.2 Dispositivos "substitutos" enviados pelo correio
O mecanismo: uma carta física chega com marca Ledger, alegando um "upgrade gratuito de segurança" relacionado ao vazamento de dados de clientes Ledger de 2020. Duas semanas depois, uma encomenda chega com o que aparenta ser um novo dispositivo Ledger. As instruções acompanhantes pedem que o usuário digite suas 24 palavras existentes "para migrar fundos". O novo dispositivo é um cliente drainer.
Defesa: fabricantes de hardware wallet nunca enviam dispositivos substitutos não-solicitados. O vazamento Ledger de 2020 tem agora cinco-mais anos; nenhum programa legítimo de remediação roda cinco anos após o incidente. Qualquer envio de dispositivo não-solicitado é golpe independente de quão autêntica a embalagem pareça.
5.3 Comprometimento de firmware na supply chain
O mecanismo: uma listagem "Vendido por [Marca]" na Amazon ou similar para uma hardware wallet com firmware adulterado. O dispositivo passa em inspeção visual mas gera seed phrases num intervalo determinístico que o operador consegue brute-force, ou transmite a seed via canal lateral durante a primeira conexão ao computador.
Defesa: compre direto do fabricante. Verifique a assinatura do firmware no primeiro boot via o próprio software do fabricante (Ledger Live, Trezor Suite). Rode um "teste de poeira" — mande uma quantia pequena, segure 48 horas, confira o endereço num block explorer — antes de abastecer sério. Use uma passphrase BIP-39 para defender contra comprometimento de seed em nível de supply-chain.
Camada 6: fraude cross-chain e de bridges
6.1 Bridges falsas
O mecanismo: um anúncio patrocinado do Google para "universalbridge.io" ou similar aparece no topo de uma busca por "bridge USDC arbitrum solana". O site parece um agregador de bridge polido. O usuário aprova gasto USDC, submete a bridge. Os fundos saem da chain de origem; nada chega na de destino. Não há bridge real — só um par de carteiras que o operador controla.
Defesa: use apenas bridges auditadas, de múltiplos anos. Para USDC: CCTP da Circle. Para ativos gerais: Wormhole, Stargate, Across, deBridge. Encontre bridges pela documentação oficial da chain (docs do Arbitrum, docs da Solana), não via Google. Bridge uma quantia de teste de 50 USD primeiro; verifique que os exploradores de ambas as chains mostram as transações antes de comprometer o saldo completo.
6.2 "Depósitos" em chain errada
Não é um golpe, mas uma perda auto-infligida frequente o bastante para mencionar. Um usuário envia USDT da Binance para sua hardware wallet, seleciona a rede errada (BSC em vez de Ethereum, ou Tron em vez de BSC). Os fundos confirmam na chain errada. Recuperação é possível (às vezes, com ajuda da corretora, com taxas) mas leva 4-12 semanas e não é garantida.
Defesa: toda tela de saque tem um seletor de rede. Verifique que bate com a chain esperada da carteira de destino. Para qualquer saque acima de R$ 5 mil, envie um teste de R$ 100 primeiro. Salve endereços no livro de endereços da corretora com labels de rede.
Camada 7: padrões emergentes (2025-2026)
7.1 Claims de tokens dust-and-bait
O mecanismo: um token sem valor aparece na barra lateral do MetaMask, nomeado para imitar um airdrop real ("USDT Airdrop Reward", "BlackRock Bitcoin ETF Claim", "USDC Compensation Pool"). Os metadados do contrato do token linkam para um site de "claim". A página de claim explora suas aprovações existentes de token (USDT em Uniswap, etc.) para drenar ativos. O token dropado em si nunca é o alvo — é a isca.
Defesa: tokens não-solicitados são isca, não presente. Esconda-os; não clique nos endereços de contrato deles; não visite seus sites de "claim". Audite suas aprovações existentes mensalmente em revoke.cash para limitar o dano se a isca funcionar.
7.2 Golpes de claim atrasado de airdrop
O mecanismo: um holder perdeu um snapshot real de airdrop. Dias depois, uma conta falsa "Foundation Late Claim Portal" no X responde ao tweet de reclamação dele oferecendo elegibilidade retroativa via uma assinatura. A assinatura é um batch Permit2 em todo o portfólio ERC-20 do holder.
Defesa: snapshots são finais. Projetos reais não rodam portais de "segunda chance". O fato de alguém estar oferecendo elegibilidade retroativa é a prova de que a oferta é fraudulenta.
7.3 Phishing de account abstraction
O mecanismo: à medida que carteiras de account abstraction (ERC-4337) se tornam padrão, novos tipos de assinatura aparecem. Cada novo tipo de assinatura é um vetor fresco para phishing — usuários ainda não reconhecem o que é normal vs. o que é malicioso. Espere essa categoria crescer em 2026-2027.
Defesa: quando uma carteira mostra um tipo de assinatura que você nunca viu antes, não assine. Procure a documentação do tipo de assinatura primeiro. Melhor perder o airdrop do que perder a carteira.
O protocolo de recuperação de 30 minutos
Se você acabou de perceber que foi phishado:
- Minuto 0-5. Abra um dispositivo limpo que nunca teve a carteira comprometida. Gere uma seed nova num hardware wallet fresco. Note os novos endereços.
- Minuto 5-15. Mova stablecoins da carteira comprometida para os novos endereços. USDC, USDT, DAI, BUSD — nessa prioridade. São o alvo de drenagem de maior valor para o atacante.
- Minuto 15-25. Mova majors líquidos. ETH, BTC, SOL, BNB. Aí qualquer NFT de alto valor.
- Minuto 25-30. Mova tokens long-tail. Qualquer coisa não em staking ativo. Aí revogue todas as aprovações em revoke.cash.
A carteira comprometida está agora vazia. Não "salve" como uma carteira de baixo valor — está permanentemente na fila do atacante e será drenada no momento que valor reaparecer.
Dentro da primeira hora após o resgate: audite todos os serviços vinculados quanto a aprovações ou endereços de depósito. Registre BO eletrônico na delegacia de crimes cibernéticos. Trate quaisquer credenciais relacionadas (email, logins de exchange, gerenciadores de senha) como potencialmente comprometidas até prova em contrário.
As verdades duras
- A maioria dos comprometimentos perde tudo na carteira afetada. O protocolo de recuperação funciona apenas para casos pegos cedo.
- Recuperação real via polícia é rara. Estimativas da indústria: 3-8% das perdas de fraude cripto veem recuperação parcial dentro de dois anos. O resto se foi.
- A vergonha é a ferramenta mais eficaz do atacante para manter vítimas em silêncio. Fale com alguém. Os erros técnicos que levaram à perda não são únicos; os mesmos padrões atingem milhares de holders.
- A postura defensiva é estrutural, não psicológica. Você não "passa por cima" do phishing sendo cético. Você projeta sua custódia para que um erro não perca tudo.
Leitura relacionada
Arquivos de casos específicos neste site percorrem padrões individuais de ataque em profundidade: a biblioteca de 30 scam-cases. As defesas estruturais: chaves privadas e seeds, guia de auto-custódia, comparativo de hardware wallets, hierarquia de 2FA, protocolo de recuperação de vazamento, autocheck de 30 itens.