Sites fraudulentos em 2026: os sinais que não devemos ignorar

Imagine procurando um par de tênis para correr no smartphone, encontra uma oferta absurda — 70% de desconto, frete grátis, avaliações entusiasmadas — clica, paga. Os tênis nunca chegam. O site desaparece. O dinheiro também. Ficção científica? Não. É a realidade de milhões de usuários todos os anos.

A verdade é que as fraudes online não são mais domínio de amadores com sites mal feitos e cheios de erros gramaticais. Hoje existem ferramentas baseadas em inteligência artificial — modelos generativos como os vários GPT ou sistemas equivalentes — capazes de gerar em poucos segundos páginas web credíveis, textos impecáveis, avaliações falsas e até logos empresariais convincentes. O nível de qualidade desses sites-fraude aumentou vertiginosamente. E as defesas médias dos usuários não acompanharam o ritmo.

Neste artigo mostro como funciona o mecanismo, quais sinais técnicos e visuais você precisa aprender a reconhecer, e principalmente o que fazer antes de clicar em "comprar". Spoiler: muitas das ferramentas úteis você já tem no bolso, no seu smartphone.

O fenômeno é muito maior do que você pensa

Vamos aos números, porque números colocam a expectativa e o medo no chão em igual medida. Segundo dados agregados pela Wired Italia, as denúncias de fraudes de e-commerce na Europa superaram 4,5 bilhões de euros em danos em 2025, com um aumento estimado de 34% em relação a 2023. Na Itália, a Polícia Postal registrou um aumento constante de denúncias relacionadas a sites clonados e lojas fantasma, com picos durante a Black Friday e períodos festivos.

O que mudou as regras do jogo? Três palavras: inteligência artificial generativa.

Até três ou quatro anos atrás, um site fraudulento era reconhecido quase imediatamente: texto copiado mal, imagens pixeladas, URL surreal, nenhum certificado HTTPS. Hoje não é mais assim. Os criminosos cibernéticos usam o mesmo software que as empresas legítimas usam para construir landing pages, escrever descrições de produtos e gerar depoimentos falsos. Basta um prompt bem escrito e uma plataforma no-code. Em menos de uma hora, você tem uma loja online que parece autêntica.

O problema é estrutural, não marginal. E quem lhe disser o contrário ou não atualizou suas fontes, ou tem algo a vender.

Os sinais técnicos: o que o smartphone não vê sozinho

Aqui está a lista. Mas não espere uma lista banal: cada ponto tem uma razão técnica específica.

1. O domínio é suspeito — sempre verificar Uma URL como nikeoutlet-descontos.br ou amazon-ofertas2026.com é um exemplo clássico de typosquatting ou brand impersonation: técnicas que consistem em criar domínios semelhantes aos legítimos para enganar o usuário distraído. O domínio oficial da Nike é nike.com. Ponto. Qualquer variação é um sinal vermelho. No smartphone é mais fácil cair na armadilha porque a barra de endereços é pequena e muitas vezes fica escondida.

2. HTTPS não é sinônimo de segurança Este talvez seja o conceito errado mais perigoso. O cadeado verde — o certificado SSL/TLS que garante a conexão criptografada — diz apenas que a comunicação entre você e o site está criptografada. Não diz nada sobre a confiabilidade do próprio site. Os fraudadores obtêm certificados SSL gratuitamente em poucos minutos através de serviços como Let's Encrypt. Um site fraudulento pode ter o cadeado verde. Desconfie de quem usa o cadeado como prova de confiabilidade.

3. Páginas "Sobre Nós" inexistentes ou genéricas Sites legítimos têm uma história, um endereço físico verificável, um número de CNPJ. Sites fraudulentos tendem a ter seções "Sobre" cheias de texto fluente mas vazio, gerado por inteligência artificial: frases bonitas sobre "paixão pela qualidade" e "anos de experiência", sem nunca um nome real, um endereço ou um número de telefone que funcione.

4. Métodos de pagamento incomuns Transferência bancária direta, recarga de carteira digital, criptomoedas, cartões-presente: esses métodos não oferecem proteção ao consumidor. Cartões de crédito e sistemas como PayPal têm sistemas de chargeback — ou seja, a possibilidade de solicitar reembolso em caso de fraude. Se um site aceita apenas métodos não rastreáveis ou não reembolsáveis, é quase sempre um sinal de alerta.

5. Avaliações todas perfeitas, todas recentes Avaliações autênticas têm uma distribuição natural: sempre há alguém insatisfeito, os julgamentos são espalhados no tempo, a linguagem varia. Um perfil com 200 avaliações de cinco estrelas escritas todas no mesmo mês, com frases semelhantes e sem resposta da empresa, é quase certamente construído artificialmente. Existem softwares dedicados que geram lotes de falsas avaliações em poucos segundos.

6. Ausência de políticas claras Política de Privacidade e Termos e Condições escritos de forma genérica, não localizados para a jurisdição brasileira ou europeia, ou até mesmo copiados de outros sites (verificável colando um parágrafo no Google) são sinais precisos. A LGPD impõe requisitos específicos: um site legítimo os respeita.

7. O design é "perfeito demais para ser verdade" Paradoxal, não é? Mas na era da inteligência artificial, um site construído com template de IA tende a ter uma perfeição asséptica, sem a personalidade típica de uma empresa real. Nenhuma foto autêntica da equipe, imagens stock muito polidas, fontes e cores impecáveis mas anônimas.

Como verificar um site: ferramentas práticas para usar já

Aqui está o que fazer concretamente, até mesmo diretamente do smartphone.

  • Whois Lookup: serviços como whois.domaintools.com permitem ver quando um domínio foi registrado e por quem. Um domínio registrado três semanas atrás que vende eletrônicos com desconto de 60% é muito suspeito.

  • Google Safe Browsing: digite https://transparencyreport.google.com/safe-browsing/search e insira a URL do site. Google mantém uma lista atualizada de sites perigosos.

  • Procure o número de telefone ou email no Google: uma empresa legítima deixa rastros na web. Se procurar o número e não encontrar nada, ou encontrar denúncias de fraude, você tem sua resposta.

  • Verifique o CNPJ: se o site declara ser brasileiro, o CNPJ é verificável gratuitamente no site da Receita Federal.

  • Use mecanismos de busca para encontrar avaliações externas: procure pelo nome do site + "avaliações", "fraude", "fórum". Reclame Aqui e Trustpilot são pontos de partida úteis, mas também podem ser manipulados. Procure discussões em fóruns independentes como Reddit ou fóruns especializados.

  • Escaneie com seu software de segurança: muitos antivírus modernos para smartphone — de Bitdefender a Norton a Kaspersky — têm módulos de proteção web em tempo real que analisam URLs antes mesmo da página carregar.

Meu ponto de vista

Digamos claramente: a culpa quase nunca é do usuário. Anos de campanhas de "educação digital" carregaram sobre as pessoas uma responsabilidade que deveria estar com as plataformas. Se Google, Meta e marketplaces como Amazon ou Mercado Livre realmente quisessem eliminar sites fraudulentos de seus resultados de busca e de seus espaços publicitários, poderiam fazer isso de forma muito mais agressiva. Tecnologias de verificação existem. O que falta é vontade e incentivo econômico.

Na minha opinião, o verdadeiro problema é que a inteligência artificial reduziu a zero o custo de entrada para fraudadores. Tempos atrás, construir um site credível exigia competências, tempo, dinheiro. Hoje basta uma assinatura de vinte dólares em um software generativo e algumas horas. O fosso entre atacante e defensor se ampliou enormemente.

O que funciona mesmo? A verificação manual, chata e lenta. Nenhum algoritmo de plataforma o protegerá completamente. O que funciona é o hábito — e a desconfiança sistemática — de parar trinta segundos antes de comprar. Na minha experiência, quem cai em fraude raramente é burro: apenas está com pressa.

Os riscos que ninguém te conta

Esta seção é a que realmente importa. Frequentemente falamos de fraudes online como se o dano fosse apenas econômico. Não é assim.

O roubo de identidade é mais grave que a perda de dinheiro. Quando você insere nome, sobrenome, endereço, número do cartão e às vezes até uma cópia do documento em um site fraudulento, seus dados entram em um mercado paralelo. Na dark web, um conjunto completo de dados pessoais brasileiros vale entre 30 e 150 dólares, dependendo da completude. Esses dados são revendidos várias vezes, usados para abrir financiamentos, para fraudes fiscais, para SIM swapping — uma técnica que consiste em transferir seu número de telefone para um SIM controlado por criminosos para contornar autenticação de dois fatores.

O smartphone é o ponto fraco mais subestimado. A maioria dos usuários usa celular sem software de proteção. A tela pequena esconde URLs. Notificações push podem ser falsificadas — ou seja, forjadas — para parecerem comunicações bancárias legítimas. E muitos apps clonados ainda conseguem passar despercebidos nas lojas, apesar dos controles declarados da Apple e Google.

A inteligência artificial também é uma arma de phishing por voz. Em 2025 surgiram casos documentados de fraudes em que um áudio clonado com IA — a voz de um familiar ou de um funcionário bancário — era usado para ligar para vítimas e convencê-las a fazer transferências. De acordo com TechCrunch, fraudes baseadas em clonagem de voz aumentaram 300% em dois anos. Isso não diz respeito apenas a sites: diz respeito a todo o ecossistema digital.

O caso de Marco Ferretti, Milão, 2025

Marco Ferretti, 41 anos, designer gráfico freelancer de Milão, perdeu 2.340 euros em novembro de 2025. Encontrou no Instagram um anúncio de oferta de um tablet profissional a preço reduzido. O site era cuidadoso, tinha avaliações, uma seção FAQ detalhada, até um bate-papo ao vivo — na verdade um chatbot alimentado por IA que respondia de forma convincente.

Pagou com PostePay. O tablet nunca chegou. O bate-papo ao vivo parou de responder. O site desapareceu após dez dias. A denúncia à Polícia Postal foi arquivada: os servidores estavam em um país fora da UE, os responsáveis impossíveis de rastrear.

O que poderia tê-lo salvado? Simples: procurar o domínio no Whois teria revelado que foi registrado doze dias antes. Esse detalhe apenas, por si só, teria fechado a história.

Perguntas Frequentes

P: Como faço para saber se um site é seguro antes de comprar? R: Verifique a idade do domínio em um serviço Whois, confirme a presença de um CNPJ real e procure pelo nome do site no Google adicionando a palavra "fraude". São três movimentos que levam três minutos e cobrem a maioria dos riscos.

P: O cadeado HTTPS significa que o site é confiável? R: Não. O cadeado certifica apenas que a conexão é criptografada, não que o site seja legítimo. Fraudadores obtêm certificados SSL gratuitos facilmente. Não confie apenas no cadeado.

P: O que faço se já inseri meus dados em um site suspeito? R: Bloqueie imediatamente o cartão de crédito ou conta bancária envolvida, mude as senhas das contas vinculadas ao email usado, apresente denúncia à Polícia Postal e denuncie o site à ANPD (Autoridade Nacional de Proteção de Dados).

P: A inteligência artificial pode me ajudar a reconhecer fraudes? R: Sim e não. Existem extensões de navegador e softwares que usam IA para analisar páginas em tempo real. Mas IA também é a ferramenta usada por fraudadores para construir sites. A melhor arma continua sendo o hábito de verificação manual.

P: Marketplaces como Amazon ou Mercado Livre são 100% seguros? R: Não. Ambas as plataformas hospedam vendedores terceirizados, alguns dos quais fraudulentos. Sempre verifique as avaliações do vendedor específico, a data de registro da conta e as políticas de devolução antes de comprar.

Conclusão

Recapitulando os três pontos que realmente importam: primeiro, a inteligência artificial tornou sites fraudulentos indistinguíveis a olho nu dos legítimos — o nível de qualidade visual não é mais um indicador confiável. Segundo, ferramentas de verificação existem, são gratuitas e frequentemente já estão no seu smartphone: usá-las leva trinta segundos, não horas. Terceiro, o dano de uma fraude online raramente se limita ao dinheiro: o roubo de identidade que pode resultar é um problema que dura anos.

O conselho prático imediato? A partir de hoje, antes de qualquer compra em um site que você não conhece, copie a URL e cole em um serviço Whois. Se o domínio tem menos de três meses, feche a aba. Não é preciso mais nada.