Guia . Segurança

Como identificar um esquema fraudulento no mundo das criptomoedas e proteger-se

A maior parte das criptomoedas perde-se devido a palavras-passe esquecidas — mas muitas são simplesmente roubadas. Aqui estão os esquemas fraudulentos que mais vemos e os hábitos que permitem evitá-los.

Atualizado em julho de 2026 · KeychainX — Recuperação de carteiras desde 2017

Enquanto empresa especializada em recuperação, deparamo-nos com pessoas no pior dia das suas vidas no mundo das criptomoedas, e uma parte dolorosa desses casos não se deve a palavras-passe esquecidas — trata-se de roubos que poderiam ter sido evitados. Este guia apresenta os esquemas fraudulentos que realmente funcionam e as práticas simples que permitem combatê-los.

Phishing e sites falsificados

The classic attack is a fake site that looks like the real one. Scammers register domains with swapped or accented characters — a Cyrillic letter that looks like a Latin one, or an extra character you won’t notice in a hurry — so binance.com reads as “binance.com” at a glance. Rules that defeat it: never click links in emails, DMs or ads to reach a crypto site; type the address yourself or use a saved bookmark; and check the full URL and the SSL certificate before entering anything, any that looks strange just leave the page immediately.

Serviços de recuperação falsos

Este assunto é pessoal, porque os burlões fazem-se passar por empresas como a nossa. Os sinais de alerta são sempre os mesmos: contactam-no primeiro (no Telegram, X, Facebook, Quora, Instagram), garantem a recuperação, exigem o pagamento antecipado de uma taxa ou pedem-lhe para introduzir a sua frase-semente ou chave privada num site ou formulário. Um serviço de recuperação legítimo nunca faz nada disso. Nunca enviamos mensagens às pessoas primeiro, nunca cobramos pagamentos antecipados, nunca pedimos a sua frase-semente completa e nunca vendemos «software de recuperação». Se alguém que utilize o nosso nome o fizer, trata-se de um impostor — e o seu objetivo é esvaziar a carteira que está a tentar salvar.

A troca de cartões SIM e o mito da autenticação de duas fases

A autenticação de dois fatores por SMS parece segura, mas não é. Os atacantes clonam o seu cartão SIM ou recorrem a engenharia social — por vezes, levando a sua operadora a emitir um cartão de substituição — e, em seguida, interceptam os códigos enviados por SMS para o «seu» número. Durante épocas de conferências movimentadas, esta tática tem sido utilizada para atacar diretamente titulares conhecidos. Proteja-se: defina um PIN ou palavra-passe de transferência de número junto da sua operadora móvel e utilize uma aplicação de autenticação ou uma chave de segurança física em vez de SMS sempre que um serviço o permitir.

Reutilização de palavras-passe e fugas de credenciais

Quando um site que utiliza é alvo de uma violação — e isso acontece —, a primeira coisa que os atacantes tentam é utilizar essas mesmas credenciais em todos os outros sites. Se o seu nome de utilizador do Exchange for igual ao do seu e-mail ou de uma conta nas redes sociais, um único vazamento compromete todas elas. Nunca reutilize o mesmo nome de utilizador e palavra-passe em serviços críticos; atribua ao seu Exchange, ao e-mail associado a ele e às suas contas nas redes sociais, respetivamente, uma palavra-passe única e forte, de preferência a partir de um gestor de palavras-passe.

Ataques ao DNS e à rede

Mesmo um endereço digitado corretamente nem sempre é seguro. Num incidente bem conhecido de 2018, os atacantes utilizaram um sequestro de BGP/DNS para redirecionar o tráfego de um site popular de carteiras para os seus próprios servidores; os utilizadores que ignoraram um aviso de certificado e iniciaram sessão enviaram as suas chaves diretamente para os ladrões, perdendo uma quantia substancial. A defesa é enfadonha, mas decisiva: nunca ignore um aviso de certificado SSL/TLS num site de criptomoedas. Se o seu navegador indicar que o certificado é inválido ou provém de uma autoridade desconhecida, pare — esse aviso significa que o sistema está a cumprir a sua função.

Antes de enviar, verifique tudo

Há toda uma categoria de perdas que resulta de malware que altera endereços e de simples descuido. Verifique sempre o endereço de destino na íntegra, e não apenas os primeiros e últimos caracteres, uma vez que os programas que se apropriam do conteúdo da área de transferência o substituem por um endereço semelhante. Envie primeiro uma pequena quantia de teste quando utilizar um novo endereço ou rede. E confirme que está na cadeia correta antes de enviar, pois o mesmo endereço pode existir em várias redes.

Cuidados redobrados durante as viagens e em eventos

As conferências sobre criptomoedas e os espaços públicos são terreno fértil para ataques. Detentores conhecidos têm sido vigiados fisicamente e alvo de engenharia social em eventos, e é muito fácil espiar redes Wi-Fi públicas. Trate qualquer dispositivo que utilize para criptomoedas como um alvo quando estiver fora de casa: evite iniciar sessão em plataformas de câmbio ou carteiras em redes públicas, não discuta os seus ativos com estranhos que pareçam estranhamente interessados e tenha cuidado com novos contactos «prestáveis» que rapidamente desviem a conversa para as suas carteiras. A pessoa mais simpática no bar é, por vezes, a mais perigosa.

A tua lista de verificação rápida de segurança

Resuma tudo aos hábitos que realmente mantém: aceda a sites de criptomoedas apenas digitando o endereço ou utilizando um marcador, nunca através de um link; utilize uma aplicação de autenticação ou uma chave de hardware, nunca SMS, e defina um PIN de transferência para outro operador; utilize uma palavra-passe única e forte para a sua plataforma de câmbio, o e-mail da mesma e as suas redes sociais; nunca ignore um aviso de certificado; verifique o endereço de destino na íntegra e envie primeiro um montante de teste; e nunca, em circunstância alguma, introduza a sua frase-semente num site nem a entregue a alguém que o tenha contactado primeiro. Siga estas recomendações e terá fechado as portas à esmagadora maioria dos roubos de criptomoedas.

Perguntas frequentes

As carteiras de hardware estão a salvo destes esquemas fraudulentos?

É muito mais seguro, porque as chaves nunca saem do dispositivo — mas ainda assim pode ser vítima de phishing e acabar por aprovar uma transação maliciosa ou revelar a sua semente. Compre apenas em fontes oficiais e nunca introduza a sua semente em lado nenhum.

Como posso saber se um serviço de recuperação é uma fraude?

Sinais de alerta: se forem eles a contactar-te primeiro, garantirem a recuperação, exigirem pagamento antecipado ou pedirem a tua frase-semente ou chave privada. Os serviços legítimos nunca fazem isso — funcionam com base no sucesso e nunca precisam da tua frase-semente completa.

A autenticação de duas fases por SMS é segura para as criptomoedas?

Na verdade, não. A troca de cartões SIM permite que os atacantes interceptem códigos SMS. Utilize uma aplicação de autenticação ou uma chave de segurança de hardware e defina um PIN de transferência de número junto da sua operadora de telemóvel.

Alguém no Telegram diz que é da KeychainX — será verdade?

Não. Nunca contactamos as pessoas por iniciativa própria no Telegram, no X, no Facebook ou em qualquer outra plataforma, e nunca pedimos credenciais nem pagamentos antecipados. Quem o fizer está a fazer-se passar por nós.

Qual é o melhor hábito para evitar fraudes?

Nunca clique em links para aceder a um site de criptomoedas — digite o endereço ou utilize um marcador — e nunca introduza a sua frase-semente em nenhum site ou formulário.

Ignorei um aviso sobre um certificado e perdi dinheiro — podem ajudar-me?

Se as chaves tiverem sido alvo de phishing, os fundos geralmente desaparecem assim que são transferidos. Os serviços de recuperação ajudam em casos de perda de acesso à sua própria carteira, não em casos de roubo em que os fundos já estão fora do seu controlo.

Não tem a certeza se está a ser vítima de uma burla?

Se perdeu o acesso à sua própria carteira (e não foi vítima de um burlão), é isso que recuperamos — com base no resultado, sem qualquer pagamento antecipado. Entre em contacto connosco e dar-lhe-emos uma resposta sincera.

Contactar a KeychainX →