Site Falso: Guia técnico para identificar lojas e links fraudulentos

A premissa de que "o que você vê é o que você acessa" tornou-se um risco sistêmico. Com a democratização das ferramentas de IA Generativa e o barateamento da infraestrutura de hospedagem rápida, a criação de Lojas Falsas atingiu um nível preocupante. 

O ataque de "Site Falso" é uma operação de Espelhamento de Interface (UI Mirroring) que captura credenciais e dados financeiros em milissegundos. Para o consumidor e o gestor de TI, o desafio é distinguir entre a conveniência do e-commerce e a armadilha do Sequestro de Domínio. 

Este guia técnico disseca os mecanismos de fraude de URL, a economia por trás dos links falsos e estabelece o protocolo de verificação forense necessário para navegar com soberania digital no Brasil.

Site falso: a anatomia da fraude de domínio

Diferente das vulnerabilidades de código, os sites falsos exploram a vulnerabilidade cognitiva. No entanto, a base é puramente técnica e reside no Sistema de Nomes de Domínio (DNS).

Typosquatting e Homograph Attacks

Este é o "RCE" visual. O atacante registra domínios que são visualmente quase idênticos aos originais.

• Typosquatting: o erro de digitação. Ex: lojas-americanas.com.br (com hífen inexistente) ou magazineluiza.co (sem o .br).
• Homograph Attack (Punycode): o uso de caracteres internacionais que parecem latinos. Ex: substituir o "a" de amazon por um "а" cirílico. Para o olho humano, o link parece perfeito; para o navegador, ele aponta para um servidor na Rússia ou China.

Sequestro de favicon e metadados

Golpistas utilizam scripts que "clonam" automaticamente o favicon (o pequeno ícone na aba do navegador) e os metadados (título e descrição) da loja real. Isso cria um senso de legitimidade que engana o cérebro, que tende a buscar por gatilhos visuais conhecidos antes de ler a URL completa.

O "Man-in-the-Middle" de pagamento

Muitos sites falsos hoje não são apenas páginas estáticas. Eles funcionam como um Proxy Malicioso. Quando você digita seus dados na loja falsa, ela envia esses dados em tempo real para a loja real, mas altera o destinatário do pagamento (PIX ou boleto) no último segundo. O usuário acredita estar comprando, mas está apenas financiando uma transação para o criminoso.

A ilusão do "cadeado" (SSL/TLS) e badges de segurança

Um dos maiores erros de segurança é acreditar que o ícone do cadeado garante que o site é "seguro".

Aviso técnico: o certificado SSL/TLS (o cadeado) garante apenas que a conexão entre seu computador e o servidor é criptografada, não que o servidor pertence a uma empresa idônea.

Atacantes utilizam certificados gratuitos (como Let's Encrypt) para colocar o cadeado em sites falsos. Portanto, o cadeado prova apenas que o seu dado está sendo enviado de forma segura para o criminoso. Da mesma forma, selos como "Site Blindado" ou "Ebit" são frequentemente apenas imagens estáticas copiadas, sem qualquer link de validação real.

Sites falsos no Brasil e a Autoridade de Dados

No Brasil, temos ferramentas únicas que servem como "scanners de vulnerabilidade" para sites falsos. Se você não as usa, está navegando às cegas.

A validação do CNPJ (Receita Federal)

Toda loja virtual brasileira é obrigada, pelo Decreto Federal nº 7.962/2013, a exibir o CNPJ no rodapé.

Teste forense: copie o CNPJ e jogue no "Emissor de Comprovante de Inscrição" da Receita Federal. Verifique se a razão social condiz com a loja e se a empresa está ativa há mais de um ano. Lojas criadas há 15 dias para vender iPhones com 70% de desconto são, por definição, fraudulentas.

Registro.br e o Whois

O Brasil possui o Registro.br, que é extremamente rigoroso. Sites com terminação .com.br são geralmente mais confiáveis do que .top, .xyz ou .biz, que são baratos e anônimos.

• Consulta Whois: verificar a data de criação do domínio. Um site falso de uma grande rede de varejo criado há 3 dias é um indicador de compromisso (IoC) crítico.

Reclame Aqui: a inteligência coletiva

O Reclame Aqui atua como um sistema de reputação em tempo real. Sites falsos costumam ter milhares de reclamações de "produto não entregue" em um curto espaço de tempo ou, o que é pior, nenhuma menção, o que indica um site recém-criado para um golpe de curto prazo (burn and discard).

Como reconhecer a Interface (UI/UX) de um site falso?

Assim como analisamos anomalias na utilização da CPU para detectar um ataque DoS no React2Shell, devemos analisar anomalias na interface da loja:

1. Preços "bom demais para ser verdade": um produto com 50% de desconto em relação ao mercado oficial é um sinal de alerta de phishing financeiro.
2. Métodos de pagamento restritos: se a loja "só aceita PIX" ou "boleto" (que têm liquidação imediata e difícil estorno), fuja. Sites legítimos priorizam cartões de crédito pela segurança do chargeback.
3. Links quebrados e botões inativos: golpistas focam na página de produto e no checkout. Muitas vezes, botões como "Sobre Nós", "Política de Troca" ou os links para redes sociais no rodapé não levam a lugar nenhum, ou recarregam a página atual.
4. Urgência artificial: contadores regressivos ("A oferta acaba em 05:00") e mensagens falsas como "15 pessoas estão vendo este produto agora" são táticas de engenharia social para inibir o pensamento analítico da vítima.

Verificação de 5 passos antes de clicar em "comprar"

Para mitigar o risco de cair em uma loja falsa, adote o seguinte protocolo técnico de verificação:

1. Auditoria de URL: olhe para a barra de endereços. Use ferramentas como o Google Safe Browsing para verificar se o link já foi reportado como perigoso.
2. Verificação Whois: o domínio foi registrado por quem? Há quanto tempo? (Use whois.registro.br para domínios nacionais).
3. Triangulação de dados fiscais: verifique o CNPJ na Receita Federal. O endereço físico da empresa existe no Google Maps?
4. Teste de canal oficial: em vez de clicar em links de anúncios do Instagram ou SMS, digite o endereço oficial da loja diretamente no navegador.
5. Verificação de gateway de pagamento: ao chegar no pagamento, verifique se o provedor de pagamento (ex: PagSeguro, Mercado Pago, VTEX) é uma entidade conhecida e se o URL de pagamento é do domínio desse provedor.

A verificação é a única proteção real

O site falso é uma arma de engenharia social da web. O criminoso não precisa invadir o seu computador se ele puder convencer você a digitar voluntariamente seus dados em uma interface familiar. Para os usuários e empresas brasileiras, a soberania digital depende da desconfiança analítica e do uso sistemático de ferramentas de validação fiscal e técnica.

A segurança é um processo contínuo de verificação. A Starti, ao descomplicar a proteção digital garante que seus parceiros não sejam guardiões ativos da integridade digital de pequenas e médidas empresas.

Quer saber mais? Clique no link e conheça o Starti Partners:

Starti Partners | Metodologia para escalar proteção digital em PMEs

Cresça com cibersegurança como serviço usando Edge Scan, Edge DNS e Edge Protect. Agende uma reunião e valide seu fit com o Starti Partners.

Starti Partners | Programa de parceria em cibersegurança

Três dúvidas para ter certeza de que um site é falso

1. Como identificar se um site de compras é falso? 

Verifique a URL em busca de erros de grafia, consulte o CNPJ no rodapé através do site da Receita Federal e verifique a reputação da loja no Reclame Aqui. Se o site for recém-criado e o preço estiver muito abaixo do mercado, desconfie.

2. O cadeado no navegador garante que o site é confiável? 

Não. O cadeado (SSL) indica apenas que a conexão é criptografada. Sites falsos também usam cadeado para passar uma falsa sensação de segurança. O que garante a confiança é a verificação da URL e dos dados da empresa.

3. O que fazer se eu comprei em um site falso?

1. Entre em contato com a operadora do seu cartão de crédito imediatamente e peça o bloqueio da transação (chargeback). 
2. Se pagou por Pix, acione o Mecanismo Especial de Devolução (MED) no seu banco. 
3. Registre um Boletim de Ocorrência eletrônico para documentar o crime de estelionato.