Golpe do Phishing e Link Falso: Como Funciona, Como Se Proteger e Recuperar [2026]
- 29 de jan.
- 10 min de leitura
Atualizado: 28 de fev.
Tempo de leitura: 15 min | Última revisão: Fevereiro/2026 | Por: João Coelho, OAB/SP 366.776 | OAB/PA 19.692 | OAB/DF 72.931
Home > Blog > Golpe do Pix > Phishing e Link Falso
Sobre o Autor
João Coelho é advogado especialista em Direito Bancário e fraudes digitais, com mais de 12 anos de experiência na defesa de vítimas de golpes contra bancos. Criador do Método JC Recupera (Golpe do Pix), atua em São Paulo e atende 100% online para todo o Brasil. Contato: WhatsApp (11) 91048-2244.
O phishing (pronuncia-se "fíchin") é a porta de entrada da maioria das fraudes bancárias no Brasil. O golpista envia SMS, e-mail ou mensagem com link falso que imita o site do seu banco. Você digita seus dados, e minutos depois ele está dentro da sua conta.
Em abril de 2024, criminosos usaram phishing para desviar R$ 15 milhões do SIAFI, o sistema financeiro do governo federal (Kaspersky, Set/2025). Se o próprio governo caiu, qualquer pessoa pode cair.
A boa notícia: o STJ já decidiu que bancos devem indenizar vítimas quando há falha na proteção de dados ou quando o sistema antifraude não detectou transações atípicas (REsp 2.222.059, Out/2025). Indenizações: devolução integral + danos morais R$ 3.000 a R$ 15.000.
Índice
💡 Linguagem Simples
Pergunta | Resposta |
O quê? | Mensagem falsa com link que imita site do banco para roubar seus dados |
Como engana? | SMS, e-mail ou WhatsApp com urgência ("conta bloqueada", "compra suspeita") |
Só clicar já é perigoso? | Pode ser. Links podem instalar malware. Mas o maior risco é digitar dados |
O banco paga? | Sim, se o golpista detinha dados que só o banco deveria ter |
Quanto recebo? | Devolução integral + danos morais R$ 3.000 a R$ 15.000 |
Prazo para agir? | MED: 80 dias |
1. O Que É Phishing {#o-que-e}
Phishing vem de "fishing" (pesca em inglês). O golpista "pesca" vítimas usando iscas digitais: mensagens falsas com links que imitam sites de bancos, lojas ou serviços. Você clica, digita seus dados num site que parece real, e o criminoso captura tudo.
Termos que Você Precisa Conhecer
Termo | O Que Significa |
Phishing | Mensagem falsa com link para roubar dados (via e-mail, site falso) |
Smishing | Phishing por SMS |
Vishing | Phishing por ligação de voz |
Site clonado | Site falso visualmente idêntico ao original |
Malware | Programa malicioso que se instala no celular ao clicar em link |
Keylogger | Tipo de malware que registra tudo que você digita |
Números Relevantes
Dado | Valor | Fonte |
Phishing no ataque ao SIAFI (2024) | R$ 15 milhões desviados | Kaspersky (Set/2025) |
Investimento dos bancos em segurança (2023) | R$ 5 bilhões | Febraban (Mar/2025) |
Operações da PF contra crimes cibernéticos | De 300 (2022) para 1.000+ (2024) | Polícia Federal |
Domínios mais usados em phishing (2025) | .XYZ (21,6%), .TOP (15,4%), .BUZZ (13,6%) | Kaspersky |
Como o Golpe Funciona em 5 Passos
Etapa | O Que Acontece |
1 | Você recebe SMS, e-mail ou WhatsApp com mensagem urgente |
2 | A mensagem tem link que parece do banco ou loja |
3 | Você clica e vai para site falso visualmente idêntico ao original |
4 | Digita seus dados (senha, cartão, CPF, token) |
5 | Golpista captura tudo e acessa sua conta em minutos |
💡 Insight do Especialista: "O phishing é a porta de entrada da maioria das fraudes bancárias. Quando o cliente cai no phishing e perde dinheiro, a pergunta certa não é 'por que a vítima clicou?', mas 'por que o banco não detectou transações completamente fora do perfil?'", João Coelho, OAB/SP 366.776
2. Os 8 Tipos de Phishing {#tipos}
Tipo 1: SMS do Banco (Smishing)
Característica | Detalhe |
Mensagem típica | "BRADESCO: Conta bloqueada por segurança. Regularize: bradesc0-seguranca.com" |
O que entrega | Link com letra trocada (bradesc0 em vez de bradesco) ou domínio estranho (.net, .xyz) |
Canal | SMS |
Tipo 2: E-mail de Atualização Cadastral
Característica | Detalhe |
Mensagem típica | "Prezado cliente, seu cadastro expirou. Clique para atualizar seus dados e evitar bloqueio" |
O que entrega | Bancos não enviam links para atualização cadastral por e-mail |
Canal |
Tipo 3: Promoção ou Prêmio Falso
Característica | Detalhe |
Mensagem típica | "Parabéns! Você ganhou R$ 500 do banco. Clique para resgatar" |
O que entrega | Bancos não distribuem prêmios aleatórios |
Canal | SMS, e-mail, WhatsApp |
Tipo 4: Boleto ou Fatura Falsa
Característica | Detalhe |
Mensagem típica | "Sua fatura de R$ 342,50 vence hoje. Pague pelo link para evitar juros" |
O que entrega | Urgência + link externo em vez do app oficial |
Canal | E-mail, SMS |
Tipo 5: Rastreamento de Encomenda
Característica | Detalhe |
Mensagem típica | "Correios: Pacote taxado. Pague R$ 47,50 para liberar: correios-taxas.com" |
O que entrega | Correios não cobram por SMS com links |
Canal | SMS |
Tipo 6: WhatsApp com Link
Característica | Detalhe |
Mensagem típica | "Oi, vi esse vídeo seu! Olha: bit.ly/video-voce" |
O que entrega | Link encurtado que esconde destino real (pode instalar malware) |
Canal |
Tipo 7: QR Code Falso (Quishing)
Característica | Detalhe |
Mensagem típica | Adesivo com QR Code colado sobre o verdadeiro em restaurantes, estacionamentos |
O que entrega | QR Code redireciona para site falso ou instala malware |
Canal | Físico (papel, adesivo) |
Tipo 8: Phishing por IA (Spear Phishing)
Característica | Detalhe |
Mensagem típica | E-mail personalizado com seu nome, banco, últimas compras e linguagem perfeita |
O que entrega | Difícil detectar: golpistas usam IA para criar mensagens sem erros |
Canal | E-mail, SMS |
3. Como Identificar: Anatomia do Link Falso {#identificar}
Comparação: Link Real vs Link Falso
Elemento | Exemplo Falso | Exemplo Real | Como Identificar |
Letra trocada | "0" (zero) no lugar de "o" | ||
Domínio errado | Domínio .net ou .xyz em vez de .com.br | ||
Sem HTTPS | http://banco... | Falta o "s" e o cadeado | |
Link encurtado | URL completa visível | Destino real escondido | |
Subdomínio falso | Domínio principal é "golpe.com" | ||
Domínio barato | Extensões .xyz, .top, .buzz são usadas por golpistas |
8 Sinais na Mensagem
# | Sinal | Explicação |
1 | Erros de português | "Seu conta foi bloqueiada" |
2 | Urgência extrema | "Último dia!", "Perde acesso hoje!" |
3 | Ameaça de bloqueio | "Conta cancelada em 24h" |
4 | Pede dados sensíveis | Senha, cartão, CPF |
5 | Remetente genérico | "Atendimento", "Suporte" |
6 | Não te chama pelo nome | "Prezado cliente" em vez do seu nome |
7 | Link diferente do texto | Texto diz "bradesco.com.br" mas o link vai para outro domínio |
8 | Mensagem não solicitada | Você não pediu nada e recebeu alerta |
A Dica Técnica
No celular: pressione o link sem clicar (toque longo) para ver o endereço real. No computador: passe o mouse sobre o link sem clicar. Se o endereço não terminar em .com.br do banco, é golpe.
4. Como Se Proteger: 10 Medidas Essenciais {#proteger}
# | Medida | Como Fazer |
1 | Nunca clique em links | SMS, e-mail, WhatsApp do banco? Abra o app oficial ou digite o site você mesmo |
2 | Verifique o endereço | HTTPS + domínio correto (.com.br) + cadeado |
3 | Desconfie de urgência | "Conta bloqueada!" e "Último dia!" são táticas de pressão |
4 | Nunca passe dados por link | Bancos não pedem senha, cartão ou token por link |
5 | Use o app oficial | Baixe apenas pela Play Store ou App Store |
6 | Ative notificações do banco | Alerta a cada transação permite identificar fraude rápido |
7 | Atualize o celular | Atualizações corrigem falhas de segurança |
8 | Use antivírus no celular | Bloqueia sites de phishing conhecidos (ajuda, mas não é 100%) |
9 | Ative autenticação em duas etapas | Mesmo com sua senha, golpista precisa do segundo fator |
10 | Não confie em QR Codes públicos | Verifique se não há adesivo colado por cima do original |
A medida #1 resolve 90% dos casos. Se você nunca clicar em links recebidos e sempre acessar o banco pelo app, o phishing simplesmente não funciona.
5. O Que Fazer Se Você Clicou no Link {#vitima}
Cenário A: Clicou mas NÃO digitou dados
Passo | Ação |
1 | Feche a página imediatamente |
2 | Limpe o histórico e cache do navegador |
3 | Execute verificação de vírus no celular |
4 | Monitore suas contas nos próximos 7 dias |
Cenário B: Digitou dados (senha, cartão, token)
Passo | Ação | Prazo |
1 | Entre no app e mude a senha imediatamente | Imediato |
2 | Bloqueie cartões informados | Imediato |
3 | Revogue acessos em dispositivos desconhecidos | Imediato |
4 | Ligue para o banco (número do cartão) e relate o phishing | Imediato |
5 | Se houve Pix fraudulento, acione o MED | Imediato |
6 | Registre BO Online com prints | Até 24h |
Cenário C: Instalou app malicioso
Passo | Ação |
1 | Desinstale o app suspeito |
2 | Restaure o celular para configurações de fábrica |
3 | Mude TODAS as senhas bancárias de outro dispositivo |
4 | Registre BO |
Próximos 7 Dias (todos os cenários B e C)
Passo | Ação | Por Quê |
7 | Reclamação no Consumidor.gov.br | Pressiona o banco + registro público |
8 | Reclamação no Banco Central | Gera investigação regulatória |
9 | Consulte o Registrato | Verifica empréstimos ou contas no seu CPF |
10 | Se banco negar, procure advogado | STJ decidiu a favor das vítimas |
6. Responsabilidade do Banco {#responsabilidade}
Quando o Banco É Responsável
Situação | Base Legal |
Golpista detinha dados bancários da vítima (saldo, agência, últimas transações) | Presunção de vazamento: Súmula 479 STJ |
Sistema antifraude não detectou transações fora do perfil (14 Pix em 1 dia) | REsp 2.222.059 STJ (Out/2025) |
Banco não verificou biometria para empréstimo contratado pelo golpista | Falha de segurança |
Banco não enviou alerta por outro canal antes de processar | Resolução BCB 403/2025 |
Banco negativou nome da vítima após ela comunicar a fraude | Dano moral agravado |
O Argumento que os Bancos Usam (e Perdem)
Bancos costumam alegar "culpa exclusiva da vítima" por ter clicado no link. Mas tribunais rejeitam essa tese: o ato de clicar num link, induzido por fraude sofisticada que imita o ambiente bancário, não configura culpa exclusiva. O sistema de segurança do banco deveria ter evitado o prejuízo.
Tabela de Indenizações: Phishing Bancário
Valor do Golpe | Dano Material | Dano Moral | Referência |
R$ 1.000 a R$ 5.000 | Devolução integral | R$ 3.000 a R$ 5.000 | TJDFT, Acórdão 1857559 |
R$ 5.000 a R$ 20.000 | Devolução integral | R$ 5.000 a R$ 10.000 | TJSP, diversos |
R$ 20.000 a R$ 50.000 | Devolução integral | R$ 8.000 a R$ 15.000 | TJSP |
Empréstimo fraudulento | Cancelamento + parcelas devolvidas | R$ 5.000 a R$ 20.000 | TJMT (Jan/2026) |
💡 Insight do Especialista: "O simples ato de clicar em link falso não é culpa exclusiva da vítima. Se fosse, os bancos não investiriam R$ 5 bilhões por ano em segurança. O sistema deveria ter detectado as transações atípicas.", João Coelho, OAB/SP 366.776
7. Casos Reais: Bancos Condenados {#casos-reais}
Caso 1: STJ condena banco por engenharia social (REsp 2.222.059)
Dado | Detalhe |
Tribunal | STJ, 3ª Turma, por unanimidade |
Decisão | Outubro/2025 |
Golpe | Vítima recebeu contato com dados que só banco teria. Prejuízo: R$ 143 mil + empréstimo R$ 13 mil + boleto R$ 11 mil |
Detalhe | Cliente fazia poucas transações por mês, mas em um único dia foram 14 operações atípicas |
Tese | Banco deve indenizar quando há falha na proteção de dados ou na identificação de transações suspeitas |
Caso 2: Limeira/SP, duas compras de R$ 19.800 + R$ 19.900 (Out/2025)
Dado | Detalhe |
Tribunal | Vara do JEC de Limeira/SP |
Golpe | Golpistas com dados pessoais da vítima realizaram duas compras totalmente fora do padrão |
Resultado | Banco condenado: anulação das transações + R$ 5.000 danos morais |
Tese do juiz Marcelo Vieira | "O banco sustentou culpa exclusiva de terceiros, mas a fraude resultou de falha na segurança do sistema bancário" |
Caso 3: TJMT, empréstimo fraudulento + Pix + negativação (Jan/2026)
Dado | Detalhe |
Tribunal | TJMT |
Golpe | Vítima recebeu ligação da "assistente virtual do banco". Em 2h, golpistas contrataram empréstimo de R$ 39.851 + Pix R$ 19.990 |
Agravante | Banco se recusou a cancelar o empréstimo e negativou o nome da vítima |
Resultado | Banco condenado a cancelar empréstimo + devolver valores + danos morais |
Tese do Des. Luiz Octávio Saboia Ribeiro | "Fraude bancária por engenharia social se enquadra como fortuito interno, parte do risco da atividade bancária" |
Caso 4: TJSP, falsa central com SMS prévio + R$ 7.957 (Dez/2025)
Dado | Detalhe |
Tribunal | TJSP |
Golpe | Idosa recebeu SMS alertando compra suspeita. Ligou para o número indicado. Golpista já tinha todos os dados |
Valor | R$ 7.957,32 transferidos do cartão de crédito |
Resultado | Banco condenado a devolver + danos morais |
Relatora Maria Salete Corrêa Dias | "Mesmo descuidada, não se pode falar em culpa exclusiva da vítima" |
Caso 5: TJSP, banco reconhece "golpe comum" mas nega devolver
Dado | Detalhe |
Golpe | Vítima de phishing/falsa central. Comunicou fraude imediatamente |
Argumento do banco | "Culpa exclusiva do consumidor" |
Detalhe revelador | O próprio banco admitiu tratar-se de "golpe comum" nos autos |
Resultado | Banco condenado (se sabe que é golpe comum, deveria ter sistemas para detectar) |
Perguntas Frequentes {#faq}
Só clicar no link já é perigoso?
Em alguns casos, sim. Links podem instalar malware automaticamente. Mas o maior risco é digitar dados no site falso. Se apenas clicou e fechou, faça verificação de vírus e monitore suas contas.
Como o golpista sabe meu nome e banco?
Geralmente por vazamentos de dados anteriores. Milhões de CPFs, nomes e dados bancários já foram vazados no Brasil. Golpistas compram essas bases e disparam mensagens personalizadas.
O banco pode ser responsabilizado se eu cliquei no link?
Sim. O simples ato de clicar em link falso não configura culpa exclusiva da vítima. O banco deveria ter sistemas para detectar transações atípicas (múltiplos Pix fora do perfil, empréstimo repentino).
Antivírus protege contra phishing?
Ajuda, mas não é 100%. Antivírus bloqueia sites conhecidos de phishing, mas novos sites surgem a cada hora. A melhor proteção é nunca clicar em links de mensagens não solicitadas.
O que é o "cadeado" no site?
O cadeado (HTTPS) significa que a conexão é criptografada. Mas cuidado: sites falsos também podem ter cadeado. O cadeado protege a conexão, não garante que o site é verdadeiro. Verifique o domínio.
E se o golpista contratou empréstimo no meu nome?
Você tem direito ao cancelamento do empréstimo + restituição de parcelas pagas + danos morais. O TJMT condenou banco nessa situação em janeiro/2026.
Recebi SMS com link do banco. É golpe?
Muito provavelmente. Bancos enviam SMS informativos, mas raramente com links. Se receber, ignore o link. Abra o app oficial e verifique se há notificação.
Quanto tempo tenho para agir?
Para o MED: 80 dias. Para contestar no banco: imediatamente. Para processo judicial: 5 anos (prazo CDC).
📚 Artigos Relacionados
Golpe do Pix
Tipos de Golpe
Utilidades
🚨 Digitou Dados em Site Falso e Perdeu Dinheiro?
O banco alega que a culpa é sua por ter clicado no link. Os tribunais pensam diferente: se o sistema antifraude não detectou transações atípicas, a falha é do banco. Podemos analisar seu caso com base nos precedentes do STJ e TJSP.
Atendimento 100% online, em todo o Brasil.
João Coelho | OAB/SP 366.776 | OAB/PA 19.692 | OAB/DF 72.931 | Método JC Recupera (Golpe do Pix)
![MED Pix: Como Funciona o Mecanismo de Devolução e Como Recuperar Seu Dinheiro [2026]](https://static.wixstatic.com/media/7e9b03_f9cb04e152d84962be6c97ab0ddec05b~mv2.webp/v1/fill/w_1180,h_670,al_c,q_30,blur_30,enc_avif,quality_auto/7e9b03_f9cb04e152d84962be6c97ab0ddec05b~mv2.webp)
![MED Pix: Como Funciona o Mecanismo de Devolução e Como Recuperar Seu Dinheiro [2026]](https://static.wixstatic.com/media/7e9b03_f9cb04e152d84962be6c97ab0ddec05b~mv2.webp/v1/fill/w_296,h_168,al_c,q_90,enc_avif,quality_auto/7e9b03_f9cb04e152d84962be6c97ab0ddec05b~mv2.webp)
![Como Desvincular Conta Salário do Banco: Guia Completo [2026]](https://static.wixstatic.com/media/7e9b03_0429013b72564e129f506cc223591d52~mv2.webp/v1/fill/w_1180,h_670,al_c,q_30,blur_30,enc_avif,quality_auto/7e9b03_0429013b72564e129f506cc223591d52~mv2.webp)
![Como Desvincular Conta Salário do Banco: Guia Completo [2026]](https://static.wixstatic.com/media/7e9b03_0429013b72564e129f506cc223591d52~mv2.webp/v1/fill/w_296,h_168,al_c,q_90,enc_avif,quality_auto/7e9b03_0429013b72564e129f506cc223591d52~mv2.webp)