SSP Editorial Team

Ataques de Phishing Contra Usuários de Cripto (e Como Identificá-los)

·7 min de leitura·Por SSP Editorial Team
Capa de segurança do SSP com ícones de carteira, chave, escudo e chip, ilustrando um guia sobre ataques de phishing cripto.

O phishing é a forma mais comum de usuários de custódia própria perderem dinheiro. Não uma cifra quebrada, não uma chave privada crackeada — uma mensagem convincente, um site idêntico ao original ou uma transação que parece rotineira até não ser mais. A criptografia por trás da sua carteira é sólida, e o atacante sabe disso, então ele a ignora completamente e mira na única parte do sistema que pode ser convencida a fazer a coisa errada: você. Todo ano, bilhões são perdidos em fraudes cripto e engenharia social, e a maior parte começa com uma mensagem de phishing, não com um exploit técnico.

Este artigo detalha o que o phishing cripto realmente mira, os padrões específicos que você pode aprender a reconhecer à primeira vista e como o design do SSP ajuda — sendo honesto sobre onde ele não pode proteger você.

O que o phishing realmente mira

O phishing contra um usuário de custódia própria está atrás de uma de três coisas: sua seed phrase, suas aprovações ou sua assinatura. Roube a seed e o atacante controla todas as contas derivadas dela, para sempre. Engane você para conceder uma aprovação de token e eles podem drenar ativos específicos quando quiserem. Faça você assinar uma única transação maliciosa e os fundos se movem em um bloco.

O que os três têm em comum é que você precisa agir. O atacante não consegue acessar sua carteira e pegar nada; ele precisa que você digite, clique, aprove ou assine. Essa dependência também é a sua vantagem — todo ataque tem um momento em que você pode pará-lo, se souber como esse momento se parece.

Os padrões que você pode reconhecer

O phishing cripto reutiliza um conjunto pequeno de táticas. Uma vez que você consiga nomeá-las, fica muito mais difícil cair nelas.

Sites falsos de carteiras e typosquats em anúncios de busca

A tática mais antiga é um clone de um site real de carteira ou exchange, servido a partir de um domínio parecido e frequentemente impulsionado para o topo dos resultados de busca como anúncio pago. A página parece perfeita pixel a pixel e existe por um único motivo: capturar sua seed phrase ou enganá-lo para conectar e assinar. Trate a barra de busca como hostil. Encontre o site real uma vez, verifique-o e adicione-o aos favoritos — e sempre chegue a ele por meio desse favorito. O SSP nunca vai pedir sua seed phrase em um site, e a extensão real é instalada na loja oficial do navegador, não em um anúncio de busca. Se você não tem certeza de como é uma carteira de extensão legítima, leia carteiras de extensão de navegador explicadas.

Solicitações de entrada de seed phrase

Esta merece uma regra própria, porque é absoluta: nenhuma carteira legítima jamais pedirá que você digite sua seed phrase em um site, formulário, pop-up ou DM. Não para "validá-la", não para "sincronizá-la", não para "reivindicar" nada. Sua seed é inserida em exatamente um lugar — dentro do próprio software da carteira, durante a configuração inicial ou a recuperação. O SSP só aceita sua seed dentro da extensão ou do aplicativo móvel para esse propósito, e jamais em uma página web. Se qualquer outra coisa pedir, é uma tentativa de roubo, ponto final. Para uma abordagem mais ampla de como protegê-la, veja melhores práticas para seed phrase.

Approval phishing e wallet drainers

Mais recente e sorrateiro: um dApp malicioso não pede sua seed. Ele pede que você assine o que parece ser uma transação normal — mas a ação é uma aprovação de token ou um setApprovalForAll que concede ao contrato do atacante permissão para mover seus tokens ou NFTs. Você mantém a custódia das suas chaves; você apenas assinou o direito aos seus ativos, e um wallet drainer os varre depois, às vezes semanas depois. A defesa é entender o que é uma aprovação e mantê-las de curta duração. Leia aprovações de tokens — as permissões que você continua concedendo, depois revogue as que você não usa mais.

Envenenamento de endereços

O envenenamento de endereços explora o hábito de copiar e colar. O atacante envia uma transferência de valor ínfimo ou zero para sua carteira a partir de um endereço criado para parecer com um que você já usa — os mesmos quatro primeiros e quatro últimos caracteres. Ele então fica no seu histórico, e da próxima vez que você copiar um endereço "conhecido" de transações passadas, você pega o deles no lugar e envia seus fundos diretamente ao atacante. A correção é mecânica: nunca copie um endereço do histórico de transações e verifique o endereço completo, caractere por caractere — não apenas os quatro primeiros e os quatro últimos. Um endereço falso pode coincidir perfeitamente nas duas extremidades e diferir completamente no meio.

Personificação em DMs

Se alguém te contata primeiro no Discord, Telegram ou X afirmando ser "suporte oficial", é um golpe por padrão. O suporte real não entra em seus DMs, e nenhum admin, moderador ou "bot de validação" precisa da sua seed phrase, da sua chave privada ou que você conecte sua carteira para "verificá-la". A urgência é a pista — "seus fundos estão em risco, aja agora" existe para impedir que você pense. Feche o DM e acesse o suporte somente por um canal que você acessou por conta própria.

Solicitações de assinatura maliciosas / blind signing

A tática mais técnica pede que você assine uma mensagem em vez de uma transação — um Permit, um payload eth_sign ou um blob opaco que você não consegue ler. Eles podem autorizar transferências de tokens ou aprovações off-chain, às vezes sem custo de gas e sem aviso óbvio. A regra: entenda o que você está assinando antes de assinar, e desconfie profundamente de qualquer solicitação que você não consiga decodificar. Quando você se conecta a dApps, saiba como a sessão e suas solicitações de assinatura funcionam — o que é WalletConnect e como funciona com o SSP percorre essa superfície.

Como o design do SSP ajuda — e onde não ajuda

O SSP é uma carteira multisig 2-de-2: toda transação precisa ser co-assinada em um segundo dispositivo, o SSP Key, antes de ser transmitida. Isso lhe dá uma segunda tela, em hardware separado, mostrando a solicitação mais uma vez antes de ser executada — uma segunda superfície de revisão genuína que uma carteira de dispositivo único não tem. A extensão também jamais pede sua seed em uma página web, o que fecha a rota de captura mais comum por design.

Aqui vai a parte honesta: multisig não é uma cura para phishing. Se uma transação maliciosa está diante de você e você a aprova na extensão e confirma no seu SSP Key, a carteira faz exatamente o que você mandou. O segundo dispositivo protege você de um único dispositivo comprometido assinando sozinho — ele não protege você de aprovar uma ação ruim duas vezes. Portanto, leia as duas telas: se o destino, o valor ou a ação não coincide com o que você pretendia, rejeite no SSP Key. A defesa contra phishing ainda depende de você. Por que essa responsabilidade vale a pena é o cerne de por que a autocustódia importa agora.

Uma autoavaliação de phishing em 60 segundos

Antes de assinar qualquer coisa, execute esta verificação:

  1. Verificação de URL — você chegou pelo seu próprio favorito ou por um link ou anúncio que alguém te passou? Se não for seu favorito, pare.
  2. Verificação da seed — algo está pedindo sua seed phrase? Se sim, é golpe, sempre, sem exceções.
  3. Leia o SSP Key — a ação e o valor no seu segundo dispositivo correspondem exatamente ao que você pretendia fazer?
  4. Verificação do destino — verifique o endereço completo do destinatário, não apenas os quatro primeiros e quatro últimos caracteres.
  5. Verificação de DM — isso começou com uma mensagem não solicitada ou um urgente "aja agora"? Trate como hostil.
  6. Higiene de aprovações — revogue aprovações de tokens obsoletas que você não usa mais, para que uma esquecida não possa ser drenada depois.

Se algum passo falhar, rejeite e vá embora. Uma oportunidade perdida não custa nada; um drainer assinado pode custar tudo.

Continue aprendendo

O phishing é uma camada de uma prática mais ampla de segurança pessoal. Fortaleça o restante com higiene de extensões de navegador para usuários cripto e coloque tudo em um cronograma recorrente com seu checklist de opsec cripto. Para ver como o ecossistema mais amplo rastreia esses ataques, os relatórios de tendências de phishing da APWG e o IC3 do FBI são fontes primárias sólidas.

Compartilhar este artigo

Artigos relacionados

Frase semente de doze palavras impressa em um cartão de papel ao lado de uma carteira de hardware

Boas práticas para a frase semente

O que é de fato uma frase semente, como guardá-la sem perder nem vazar, e como o multisig 2-of-2 do SSP muda o modelo de ameaças.

7 min read
Capa quadrada do guia SSP sobre aprovações de tokens ERC-20 e allowances ilimitados

Aprovações de tokens: as permissões que você não para de conceder

Como o approve() do ERC-20 funciona, por que allowances ilimitados são arriscados e o que cada interação com dApp concede da sua carteira SSP.

8 min read
Capa de seguranca da SSP com icones de carteira, chave, escudo e chip em um cartao quadrado azul-marinho

Higiene de extensoes de navegador para usuarios de cripto

Seguranca de extensoes de navegador na autocustodia: avalie o que instala, use privilegio minimo e LavaMoat, e deixe o 2 de 2 da SSP conter uma extensao ruim.

6 min read