Golpes que bombam em 2025: QR falso, spoofing no WhatsApp e “compra garantida” fake (como se proteger no Brasil)

Em 2025, os golpes digitais invadiram a rotina. Tem QR Code em todo canto, Pix no reflexo e marketplaces cheios de oferta “imperdível”. O criminoso joga com a nossa pressa. A defesa não é mágica: é ritual.

Parar, checar e só então confirmar. Com alguns ajustes no app do banco e hábitos simples, dá para cortar grande parte do risco sem virar especialista em TI.

Por que isso explodiu agora?

O Brasil abraçou o Pix como padrão, o QR virou paisagem nas mesas e maquininhas, e o WhatsApp concentra família, trabalho e negócio.

Ao mesmo tempo, a engenharia social com IA deixou mensagens e áudios com cara de “gente de verdade”. Quem tem protocolo pessoal sai na frente: antes de pagar, confira recebedor, valor e contexto. Parece básico, mas salva.

1) QR Code falso: como funciona e como evitar

Como agem

• Adesivo por cima do QR legítimo.
• QR dinâmico levando à página clonada.
• QR com Pix “mastigado” (recebedor/valor já preenchidos).

Sinais de alerta:

• QR desalinhado, com brilho diferente, cara de adesivo.
• URL “quase igual” à oficial ao abrir a página.
• Pressa: “escaneia rápido que vai fechar”.
• QR “alternativo” fora do padrão do local.

Validação em 4 passos:

• No app do banco, confirme nome e CPF/CNPJ do recebedor.
• Compare valor e descrição com o combinado.
• Use o leitor do seu banco (evite apps de terceiros).
• Nunca pague por print de QR enviado por mensagem.

Regra de bolso.
Pintou dúvida? Troque o meio: cartão com autenticação, dinheiro ou Pix para favorecido já salvo.

2) Spoofing/clonagem no WhatsApp.

Como te pegam.

• Imitam foto, nome e, às vezes, a voz de alguém próximo.
• Misturam urgência com sigilo e pedem Pix “pra agora”.

Travas obrigatórias:

• 2FA no WhatsApp e biometria no celular.
• Foto/recado só para meus contatos.
• No banco: limites por horário/valor, Pix noturno reduzido e alertas em tempo real.
• Evite pré-visualização de links de números desconhecidos.

Scripts anti-pressão.

• “Agora não consigo transferir. Te retorno do número salvo.”
• “Confirma por chamada de vídeo?”
• “Manda por e-mail corporativo que eu valido.”

Essas frases quebram a urgência artificial e levam a conversa para um canal verificável.

3) “Compra garantida” fora do marketplace.

Como vendem a cilada.

• “Por fora sai mais barato e a garantia é a mesma.”
• Pix/boleto fora do checkout oficial = sem mediação e sem cobertura.

Checklist de compra segura:

• Pague dentro do marketplace (checkout oficial).
• Cheque reputação, tempo de conta e avaliações recentes.
• Desconfie de “retira hoje se pagar agora”.
• Em retirada, prefira pagamento contra entrega registrado na plataforma.

Validando boleto e Pix.

• No boleto: confira linha digitável, banco emissor e beneficiário antes de pagar.
• No Pix: valide nome/CPF/CNPJ do recebedor.
• Não cadastre chave nova sob pressão; salve o contato e pague pelo cadastro.

4) Outros golpes quentes (fast track)

• “Central do banco” pedindo código de SMS: banco não pede código por telefone.
• Phishing de entrega: SMS/e-mail de “entrega falhou” com link para página clonada.
• Assinatura “grátis” que vira mensalidade: ative alertas de cobrança no cartão.
• “Atualização de cadastro” pedindo dados sensíveis sob pressa: recuse e verifique no canal oficial.

5) Higiene digital diária;

• Senhas diferentes por serviço + gerenciador de senhas.
• Apps e sistema atualizados (celular e banco).
• Antivírus ativo; evite Wi-Fi público sem VPN.
• Revise permissões de apps (câmera, arquivos, contatos).

3 ações que cortam boa parte do risco.

1. 2FA em WhatsApp, e-mail e bancos.
2. Limites e alertas ligados.
3. Conferir recebedor e domínio antes de pagar.

6) Prevenção em 10 minutos (no app do banco)

Limites inteligentes.

• Reduza valores à noite e fins de semana.
• Aumente temporariamente só quando precisar.
• Configure alertas por valor (ex.: transação acima de R$ 200).

Alertas e biometria.

• Ative push/SMS para Pix, cartão e logins novos.
• Exija biometria/PIN forte para abrir e confirmar operações.
• Se houver, ligue bloqueio por geolocalização e por tipo de estabelecimento.

Onde encontrar
Nos apps de Itaú, Bradesco, Banco do Brasil, Santander, Caixa, Nubank, Inter, C6 etc., procure: Segurança, Limites, Notificações, Pix Noturno, Cartão Virtual, Bloquear/Desbloquear.

7) Caiu no golpe? Primeiros 30 minutos.

0 a 10 minutos.

• Bloqueie/conteste no app do banco e reduza limites (Pix, cartão, TED, saques).
• Fale só pelos canais oficiais.
• Troque senhas críticas e ative 2FA.
• Para Pix, peça bloqueio cautelar e abertura do MED (Mecanismo Especial de Devolução). Quanto antes, melhor.

10 a 30 minutos.

• Registre BO (delegacia comum ou de crimes cibernéticos).
• Guarde provas: prints, números, e-mails, horários, protocolos.
• Abra reclamação no SAC/Ouvidoria do banco e, se houve marketplace, também lá.
• Registre no Consumidor.gov.br e acione o Procon.
• Se dados vazaram, ative monitoramento de crédito por alguns meses.

Dias seguintes.

• Troque senhas com calma e revise 2FA em todos os serviços.
• Acompanhe extratos com alertas finos.
• Avalie proteção de identidade digital e, se necessário, apoio jurídico.

Observação: o Banco Central prevê MED e bloqueio cautelar para fraudes no Pix. A análise é da instituição; por isso, agir rápido e pelo canal oficial é crucial.

Tabela 1: Banco tradicional vs. fintech (recursos de segurança)

Recurso de segurança.	Bancos tradicionais.	Fintechs
Notificação em tempo real.	Sim.	Sim.
Limite por horário/valor.	Sim.	Sim.
Pix noturno reduzido.	Sim.	Sim.
Cartão virtual/descartável.	Parcial.	Sim.
Bloqueio por geolocalização/por comércio.	Parcial.	Sim.
Contestação/chargeback (cartão)	Sim.	Sim.
Canal 24/7 no app.	Sim.	Sim.

Tabela 2: Compra dentro x fora do marketplace (proteção)

Aspecto	Dentro do marketplace	Fora do marketplace.
Mediação/garantia de compra.	Sim.	Não.
Histórico e reputação.	Sim.	Não.
Proteção à não entrega.	Alta.	Baixa.
Risco de página/QR clonado.	Baixo.	Alto.

8) Proteções que podem valer o investimento.

• Seguro contra fraudes: cobertura para compras online e transações não autorizadas.
• Proteção de identidade digital: monitora uso indevido do CPF e vazamentos.
• Monitoramento de crédito: alerta de consultas e tentativas de abertura no seu nome.

Perfis que mais se beneficiam:

• Quem compra/vende muito online.
• Autônomos/MEI que recebem e pagam por Pix o dia todo.
• Quem já teve dados expostos ou movimenta valores maiores.

9) Guia de bolso (salvar no celular);

Faça

• 2FA em tudo; limites e alertas ligados.
• Confirmar recebedor, CPF/CNPJ e valor antes de pagar.
• Pagar só no checkout oficial; usar cartão virtual.
• Manter apps e sistema atualizados.

Evite

• Pressa; QR sobreposto; links encurtados; “pagar por fora”.
• Wi-Fi público sem VPN.
• Informar códigos de SMS por telefone.

Se der ruim,

• Bloqueie no app, reduza limites, peça bloqueio cautelar/MED, denuncie e ative monitoramento de crédito.

Conclusão:

Golpe bom é o que a gente reconhece antes. Em 2025, o trio que mais funciona é higiene digital (senhas fortes, 2FA, updates), pagamento consciente (validar QR, não sair do checkout, limites espertos), plano de ação ágil na primeira meia hora (bloqueio, contestação, MED).

Reserve dez minutos hoje para ligar tudo isso. Pouco tempo, retorno enorme, menos dor de cabeça e muito mais controle do seu dinheiro.