Esta página destina-se apenas a fins informativos. Certos serviços e funcionalidades podem não estar disponíveis na sua jurisdição.

Como proteger as tuas cripto de ataques de phishing

À medida que o fascínio pela tecnologia de blockchain e pelos ativos digitais cresce, cresce também a ameaça de ciberataques. Entre essas ameaças, as fraudes de phishing tornaram-se um desafio considerável para os nativos de cripto.

Estas armadilhas online utilizam métodos enganadores para apanhar as pessoas desprevenidas, e têm como resultado a perda de ativos digitais valiosos. Este artigo irá explorar detalhadamente o phishing em criptomoedas, revelando as táticas utilizadas pelos cibercriminosos e fornecendo-te os conhecimentos necessários para protegeres os teus criptoativos.

TL;DR

  • O phishing é uma ameaça comum no mundo de cripto, utilizando a complexidade da blockchain para executar fraudes como spear-phishing e hijacking de DNS.

  • O spear-phishing foca-se nas pessoas, que recebem mensagens enganadoras personalizadas que parecem ser enviadas de fontes fiáveis, com o objetivo de aceder aos seus ativos digitais.

  • O hijacking de DNS é uma tática enganadora através da qual websites legítimos são substituídos por websites fraudulentos, de modo a convencer os utilizadores a divulgar as suas informações de início de sessão de cripto.

  • Extensões falsas para o navegador imitam extensões legítimas para roubar informações de início de sessão, o que enfatiza a importância de fazer downloads apenas de fontes autorizadas.

  • Podes proteger-te de fraudes de phishing em cripto ao manter-te informado(a), cético(a), e ao dar prioridade a medidas de segurança digital. Estas incluem usar palavras-passe fortes e ativar a autenticação de dois fatores.

O que é phishing?

A ameaça de phishing em criptomoedas não é um pequeno inconveniente, mas sim um sério risco para os teus ativos digitais. Os criminosos estão constantemente a melhorar as suas táticas e a aproveitar a natureza complexa da blockchain e das criptomoedas. Utilizam uma variedade de esquemas sofisticados para atingir pessoas e empresas.

Um tipo de ciberataque denominado spear-phishing envolve a criação de mensagens personalizadas pelos criminosos, de modo a convencer os alvos a divulgarem dados confidenciais ou a clicarem em links prejudiciais. Geralmente, estas mensagens parecem ser provenientes de fontes de confiança, como empresas ou pessoas conhecidas, convencendo as vítimas a comprometer os seus ativos digitais.

O hijacking de DNS é uma tática maliciosa através da qual os criminosos assumem o controlo de websites válidos e os substituem por websites fraudulentos. Isto pode induzir pessoas inocentes a inserirem os seus dados de início de sessão no website fraudulento, sem saberem, concedendo acesso às suas criptomoedas.

As extensões fraudulentas para navegadores são um perigo adicional. Os criminosos criam extensões que imitam as genuínas para obter informações de início de sessão. Estas extensões falsas podem adquirir as credenciais de início de sessão da sua carteira, resultando em perdas financeiras. Para mitigar esta ameaça, é importante obter apenas extensões através do website oficial dos programadores ou de outras fontes fiáveis.

Existem inúmeras atividades fraudulentas no mundo das criptomoedas, como ICOs fraudulentas, esquemas Ponzi com criptomoedas e métodos avançados como cryptojacking, através do qual os atacantes utilizam o seu computador de forma discreta para minerar cripto.

Para manter-te em segurança, é essencial estar alerta e seguir medidas recomendadas, como a criação de palavras-passe fortes e individuais, a ativação da autenticação de dois fatores e estar ciente de oportunidades inesperadas que parecem demasiado boas para ser verdade. Atualizar frequentemente o teu sistema operativo e software também pode ser uma proteção contra potenciais ameaças de segurança de criminosos. Entretanto, dispor de algum tempo para aprender sobre novas ameaças e táticas também pode contribuir para proteger-te na navegação pelo mundo de cripto.

Como é que os atacantes executam fraudes de phishing direcionadas para cripto?

À medida que a tecnologia se desenvolve, os criminosos estão a tornar-se mais avançados e a utilizar várias táticas para aceder à tua cripto. Vamos examinar estas estratégias.

Airdrop falso: a ilusão de tokens grátis

Imagina receber uma pequena quantidade de USDT de uma origem misteriosa, ou encontrar transações nos teus registos para endereços que parecem estranhamente semelhantes aos teus. Estas são indicações típicas de um projeto de airdrop fraudulento. Os criminosos geram endereços que imitam os autênticos, o que te engana e te leva a enviar os teus ativos para eles, sem saberes. A chave para te protegeres? Verifica cuidadosamente todos os caracteres do endereço antes de completares uma transação.

Assinatura induzida: a armadilha do engano

Neste cenário, os atacantes criam páginas web que imitam projetos conhecidos ou promovem airdrops atrativos. Após vinculares a tua carteira ao projeto, os criminosos convencem-te a confirmar transações que, sem saberes, lhes permitem transferir os teus ativos para os seus endereços.

A fraude de assinatura induzida tem muitas formas, desde táticas de autorização simples e enganosas até abordagens sorrateiras. As abordagens mais astutas incluem a fraude de phishing "eth_sign", em que as vítimas são induzidas a assinar uma transação ou mensagem usando a sua chave privada, que fica comprometida. O nome "eth_sign" refere-se à função do Ethereum que solicita a assinatura de um utilizador para aceder aos dados. Outra fraude de assinatura sofisticada tem como alvo os utilizadores do padrão EIP-2612. Aqui, os utilizadores são induzidos a assinar uma autorização aparentemente legítima de uma ação aparentemente inofensiva. Em vez disso, a assinatura concede aos atacantes o acesso aos tokens da vítima.

Clonagem de sites

Os criminosos copiam websites genuínos de exchanges de criptomoedas ou serviços de carteira, produzindo cópias praticamente idênticas para roubar informações de início de sessão. Quando os utilizadores introduzem os seus dados nesses websites duplicados, fornecem inadvertidamente aos atacantes o acesso às suas contas genuínas. Antes de iniciares sessão, confirma o URL do website e verifica se existem conexões HTTPS seguras.

Falsificação de emails

Uma tática comum é enviar emails fingindo ser de entidades fiáveis pertencentes à comunidade de cripto, como exchanges ou fornecedores de carteira. Estes emails podem incluir links para websites duplicados ou exigir informações confidenciais. Tem cuidado com todos os emails que solicitam chaves privadas ou informações pessoais.

Falsificação de identidade nas redes sociais

Muitas vezes, indivíduos mal-intencionados fingem ser figuras famosas, influenciadores das redes sociais, ou até mesmo perfis legítimos de plataformas populares de criptomoedas. Podem oferecer sorteios ou airdrops falsos em troca de pequenos depósitos ou informações pessoais. É crucial verificar a legitimidade do conteúdo nas redes sociais e evitar a divulgação das tuas chaves privadas.

Smishing e vishing

Smishing e vishing são técnicas que os criminosos utilizam para obter informações pessoais ou convencer as pessoas a tomarem ações que comprometam a sua segurança. Estes métodos envolvem o envio de mensagens de texto ou a realização de chamadas telefónicas que podem levar as pessoas a partilhar informações confidenciais ou a visitar websites prejudiciais. Lembra-te: nenhuma empresa respeitável pede dados confidenciais através destes canais de comunicação.

Ataques man-in-the-middle

Durante estes ataques, os criminosos interrompem a correspondência entre as pessoas e um serviço autorizado, tipicamente em redes Wi-Fi públicas ou sem segurança. Podem apreender as informações que estão a ser enviadas, como informações de início de sessão e códigos confidenciais. É recomendado utilizar uma VPN para proteger as tuas conexões online.

Exemplo de fraude de phishing

Vejamos um exemplo de uma fraude de phishing típica. Aqui, o criminoso utiliza a aplicação de mensagens Telegram para convencer um utilizador a revelar o seu endereço de email, o que leva a ainda mais manipulação através do Telegram de alguém que se faz passar por um oficial da OKX.

Como funciona a fraude

A mensagem inicial de phishing A fraude normalmente começa numa plataforma P2P, onde a vítima é abordada por um burlão a fazer-se passar por um comprador ou vendedor legítimo. O burlão solicita o endereço de email do utilizador sob o pretexto de facilitar a transação. Confiando no pedido, o utilizador partilha o seu email.

Phishing scam initial message
Be cautious of unsolicited messages received on platforms such as Telegram

Contacto via email e Telegram Pouco depois de partilhar o email, o utilizador é contactado pelo burlão que agora usa o email para continuar a conversa. O burlão sugere mover a conversa para o Telegram, afirmando que é mais conveniente. Esta mudança para um método de comunicação externo é um sinal de alerta significativo. No Telegram, o burlão faz-se passar por funcionário da OKX, adicionando uma camada de credibilidade às suas afirmações fraudulentas.

Símbolos de verificação enganosos No Telegram, o perfil do burlão pode parecer ser verificado, com um símbolo azul. No entanto, é importante notar que este símbolo azul pode ser um emoji único usado pelo burlão para criar uma ilusão de legitimidade. Os utilizadores devem compreender que um símbolo azul no Telegram não indica necessariamente uma conta oficial ou verificada. O criminoso faz-se passar por um oficial da OKX ao utilizar uma foto e um nome oficiais da OKX no Telegram, ou um crachá de verificação falso.

A falsa prova de transferência O falso funcionário da OKX enviou uma captura de ecrã ao utilizador, afirmando que o comprador P2P já depositou dinheiro fiat na OKX Wallet. Estas imagens são muitas vezes capturas de ecrã adulteradas ou recibos de pagamento fabricados com o intuito de aumentar a credibilidade, convencendo o vendedor a enviar criptomoedas aos compradores.

Phishing scam fake transfer proof
Scammers often use fake documents and doctored screenshots to create the illusion of legitimacy

Solicitação de depósito de cripto Após apresentar o comprovativo de pagamento falso, o oficial falso da OKX pede à vítima para depositar criptomoedas no endereço de carteira fornecido. Acreditando que a transferência de fiat foi feita, a vítima envia a sua cripto, apenas para mais tarde perceber que a transferência de fiat nunca foi real.

Como identificar e prevenir tentativas de phishing

Para identificar tentativas de phishing associadas a criptomoedas de forma eficaz, é essencial estar alerta, manter o ceticismo e estar bem informado(a). Continua a ler para saber como identificar os ataques de phishing acima mencionados.

Airdrops ou depósitos inesperados

Tem cuidado com depósitos ou airdrops não solicitados na sua carteira de criptomoedas. Estes podem ser um sinal de um ataque de phishing, com o objetivo de captar o teu interesse e fazer-te baixar a guarda.

Ao participar, corres o risco de ser redirecionado para um website prejudicial ou que te seja pedida a divulgação de chaves privadas ou informações pessoais, em troca de supostos ativos adicionais. Esta estratégia aproveita o fascínio e o desejo por dinheiro grátis ou tokens. No entanto, o airdrop legítimo de um projeto fiável normalmente inclui anúncios formais e orientações explícitas partilhadas através de fontes oficiais.

Pedidos de assinatura suspeitos

É essencial considerar cuidadosamente qualquer solicitação de assinatura digital, especialmente se for inesperada ou de um remetente não fiável. Os ataques de phishing podem enganar-te ao solicitar a tua assinatura para fins aparentemente inofensivos.

Isto pode conceder acesso não intencional aos teus fundos ou à tua carteira por parte dos criminosos. Confirma a origem do pedido e compreende plenamente o que estás a autorizar antes de te comprometeres. Se não tiveres a certeza, recusa o pedido e consulta especialistas ou comunidades associadas à criptomoeda específica.

Ofertas que parecem demasiado boas para ser verdade

Os criminosos utilizam técnicas de phishing para atrair as pessoas, com promessas tentadoras de grandes recompensas e pouco risco. Estes esquemas, sorteios ou prémios de lotaria podem envolver um pedido de uma pequena quantia de criptomoedas, ou a divulgação antecipada das tuas chaves privadas.

Normalmente, as empresas e projetos respeitáveis não funcionam desta forma. Antes de tomares qualquer medida, é importante investigar a proposta de forma minuciosa, procurar declarações oficiais e confirmar as informações de contacto.

Proteger os teus ativos: boas práticas

Seja qual for a ameaça, as seguintes orientações de boas práticas podem ajudar muito a proteger os teus ativos.

  • Examinar a fonte: Verifica a legitimidade do endereço de email, do URL do website ou da conta de mensagens. Presta atenção a pequenos erros ortográficos ou ao uso de caracteres especiais de forma subtil, com o objetivo de imitar fontes legítimas.

  • Ter cuidado com a urgência ou pressão: Muitas vezes, os criminosos utilizam a urgência para manipular as vítimas a tomar decisões precipitadas sem verificar informações, levando-as a cair numa fraude.

  • Verificar erros ortográficos e gramaticais: As empresas e projetos legítimos esforçam-se por garantir que as suas comunicações não contêm erros, enquanto as fraudes de phishing contêm frequentemente erros.

  • Marcadores: Para evitar a armadilha de clicar em links maliciosos disfarçados de legítimos, guarda os websites legítimos nos marcadores. Este passo rápido garante que estás sempre a aceder ao website correto.

  • Verificar antes de clicar em links: Evita clicar em links e, em vez disso, passa o cursor em cima deles para determinar o destino. Utiliza fontes fiáveis e websites oficiais para verificar as informações, e não confies em links de emails ou mensagens não solicitados.

  • Ter cuidado com os símbolos de verificação: Deves compreender que um símbolo azul no Telegram pode ser enganador e não é garantia da autenticidade do utilizador. Pode ser simplesmente um emoji usado para enganar-te.

  • Verificar cuidadosamente os comprovativos de pagamento: Nunca confies apenas em capturas de ecrã ou imagens como comprovativos de pagamento. Verifica a transação através do teu próprio banco ou da tua carteira de cripto. Verifica sempre que o dinheiro foi transferido para o método de pagamento desejado através de aplicações oficiais e não confies em capturas de ecrã.

  • Utilizar recursos de segurança: Para melhorar as tuas defesas contra o phishing, aplica medidas de segurança como a autenticação de dois fatores, carteiras de hardware e palavras-passe fortes.

  • Autenticação multi-fatores (MFA): Ativa a MFA para todas as carteiras e ferramentas que ofereçam esta funcionalidade. Isto adiciona uma camada extra de segurança, o que garante que, mesmo que a tua palavra-passe seja comprometida, os acessos não autorizados estão impedidos.

  • Utilizar uma carteira fiável: A escolha da carteira é como a escolha de um cofre para os teus itens mais valiosos. Certifica-te de escolher carteiras com uma reputação fiável e um histórico seguro. Deves ter em mente que dar prioridade à conveniência em vez da segurança não é uma decisão sábia.

  • Armazenamento offline: Uma opção para proteger quantias grandes de cripto é utilizar métodos de armazenamento offline, como carteiras de hardware. Estas ferramentas mantêm a tua chave privada offline, protegendo contra métodos de hacking online.

  • Atualizar o software regularmente: Atualizar o teu software, incluindo carteiras, ferramentas e até mesmo o navegador é essencial. Os programadores lançam atualizações regulares para corrigir vulnerabilidades de segurança. Ao atualizar, estás a minimizar o risco de que sejam exploradas fraquezas já conhecidas.

  • Aprendizagem contínua: Os ataques de phishing estão em constante evolução, com os atacantes constantemente a desenvolverem novas técnicas. É aconselhável educares-te regularmente relativamente às ameaças de segurança mais recentes e formas de defender-te. Podes fazê-lo ao seguir fontes fidedignas de notícias sobre cibersegurança, e ao juntar-te a comunidades de criptomoedas para trocar informações com outros utilizadores.

A palavra final

À medida que a tecnologia de blockchain continua a avançar, os criminosos encontram novas formas de explorar ou enganar utilizadores inocentes e obter acesso aos seus ativos digitais. Estar ciente dos diferentes tipos de fraude é o primeiro passo para te protegeres. Entretanto, ter cautela e ceticismo, verificar a legitimidade das mensagens e utilizar ferramentas de segurança como a MFA pode ajudar-te a desfrutar das vantagens da cripto e, em simultâneo, garantir a tua proteção e a proteção dos teus ativos. Descobre mais formas em como manter a tua cripto em segurança.

Lembra-te de que, na batalha contra o phishing, o conhecimento não é apenas poder, mas também proteção. Ao dispor do tempo para te familiarizares com as novas táticas de fraude de forma regular e ao investigar novos tokens, projetos e protocolos, estás em melhor posição para identificar e evitar novas fraudes.

Aviso legal
Este artigo/anúncio é fornecido apenas para fins informativos gerais e não se aceita qualquer responsabilidade ou obrigação por quaisquer erros de facto ou omissão aqui expressos. Este conteúdo poderá abranger produtos indisponíveis na sua região. Não tem como objetivo fornecer qualquer aconselhamento de investimento, fiscal ou legal, nem deve ser considerado um incentivo para comprar, vender ou deter quaisquer serviços relacionados com ativos digitais.
Os ativos digitais, incluindo criptomoedas estáveis, envolvem um nível de risco elevado e podem sofrer grandes flutuações. Deve ponderar cuidadosamente se fazer trading ou deter ativos digitais é o mais apropriado para si, tendo em conta a sua situação financeira e tolerância ao risco. A OKX não fornece recomendações de investimento ou de ativos. O utilizador é o único responsável pelas suas decisões de investimento e a OKX não é responsável por quaisquer perdas potenciais. O desempenho passado não é indicativo de resultados futuros. Consulte o seu profissional jurídico/fiscal/de investimentos para esclarecer questões relacionadas com as suas circunstâncias específicas. As funcionalidades da OKX Web3, incluindo a Carteira OKX Web3 e o Marketplace de NFT OKX, estão sujeitas a termos de serviço separados em www.okx.com.
© 2025 OKX. Este artigo pode ser reproduzido ou distribuído na sua totalidade, ou podem ser utilizados excertos de 100 palavras ou menos deste artigo, desde que essa utilização não seja comercial. Qualquer reprodução ou distribuição da totalidade do artigo deve também indicar de forma bem visível: "Este artigo é © 2025 OKX e é utilizado com a devida autorização". Os excertos permitidos devem citar o nome do artigo e incluir a atribuição, como, por exemplo "Nome do artigo, [nome do autor, caso aplicável], © 2025 OKX". Não são permitidas obras derivadas ou outras utilizações deste artigo.
Artigos relacionados
Ver mais
Ver mais