Loja online falsa: como identificar antes de comprar e o que fazer se já caiu
Resposta rápida
Para identificar um site de compras falso, desconfie de preço bom demais, verifique o CNPJ na Receita Federal, consulte o WHOIS do domínio no registro.br (domínio recém-criado é alerta), confirme endereço e canais de atendimento reais e busque reclamações no Reclame Aqui e no Procon antes de pagar. Pagou e não recebeu? Conteste no cartão ou acione o MED no Pix.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›Preço muito abaixo do mercado em produtos disputados (eletrônicos, tênis de marca, eletrodomésticos), com contagem regressiva e estoque artificial para forçar a decisão.
- ›Domínio estranho ou parecido com o de uma loja conhecida: variações com hífen, letras trocadas ou terminações como .shop, .store e .top imitando a marca original.
- ›Pagamento aceito apenas por Pix, boleto ou transferência, com desconto extra para fugir do estorno do cartão, e sem opção de pagamento na entrega.
- ›Ausência de CNPJ, endereço físico, política de troca e canais de atendimento reais; o único contato é um WhatsApp pessoal ou um formulário que nunca responde.
- ›Anúncio patrocinado em redes sociais levando a um perfil recém-criado, com poucos seguidores, comentários desativados e fotos de produtos copiadas de outras lojas.
- ›Selos de segurança e avaliações cinco estrelas que são apenas imagens estáticas: ao clicar, não abrem o site do certificador nem uma página de reputação verificável.
Passo a passo — o que fazer
- 1
1. Confira o CNPJ na Receita Federal
Procure o CNPJ no rodapé do site ou na página institucional e consulte-o gratuitamente no site da Receita Federal (Cadastro Nacional da Pessoa Jurídica). Verifique se a empresa existe, se a situação cadastral está ativa, se a razão social e o endereço batem com o que a loja informa e há quanto tempo ela foi aberta. Loja sem CNPJ, com CNPJ inativo ou com dados que não conferem é um forte indício de fraude.
- 2
2. Faça o WHOIS do domínio no registro.br
Para domínios .com.br, consulte o WHOIS no registro.br para ver a data de registro e o titular do domínio. Sites falsos costumam ter domínios criados há poucos dias ou semanas, muitas vezes registrados pouco antes da campanha de anúncios. Domínio recém-criado para uma loja que se diz tradicional, ou titular que não corresponde à empresa anunciada, são sinais de alerta importantes.
- 3
3. Pesquise a reputação no Reclame Aqui e no Procon
Busque o nome da loja e o domínio no Reclame Aqui e verifique se há histórico de não entrega, produto diferente do anunciado ou ausência de resposta. Consulte também a lista Evite Estes Sites, do Procon-SP, que reúne endereços eletrônicos contra os quais há reclamações sem solução. Pesquisar o nome da loja somado a palavras como golpe ou não recebi também ajuda a encontrar relatos recentes.
- 4
4. Analise o site com calma antes de pagar
Confira se há HTTPS (cadeado), mas lembre que o cadeado sozinho não garante idoneidade, pois sites falsos também usam certificado. Leia a política de troca e devolução exigida pelo Código de Defesa do Consumidor, teste os canais de atendimento e desconfie de textos com erros de português, preços em moeda estrangeira sem motivo e páginas de contato genéricas.
- 5
5. Prefira o cartão e evite pagar por Pix ou boleto a desconhecidos
Ao comprar em loja que você não conhece, dê preferência ao cartão de crédito, que permite contestação junto ao emissor caso o produto não chegue. Evite Pix, boleto ou transferência para lojas sem reputação, pois esses meios dificultam o estorno. Desconfie de descontos extras oferecidos exatamente para que você abandone o cartão e pague por Pix.
- 6
6. Já pagou? Reúna provas imediatamente
Salve prints do anúncio, do site, da conversa, do pedido, do comprovante de pagamento e do prazo de entrega prometido. Anote o domínio completo, a chave Pix ou os dados bancários do recebedor e o CNPJ informado. Esse conjunto de provas é essencial para a contestação no cartão, para o MED no Pix, para a reclamação no Procon e para o boletim de ocorrência.
- 7
7. Conteste o pagamento: chargeback no cartão ou MED no Pix
Se pagou no cartão, abra a contestação (chargeback) junto ao emissor informando que não recebeu o produto. Se pagou por Pix e suspeita de golpe, acione o seu banco para abrir o MED (Mecanismo Especial de Devolução) do Banco Central, que tenta bloquear e devolver o valor na conta do recebedor. Faça isso o quanto antes, pois há prazos e o dinheiro pode ser sacado rapidamente.
- 8
8. Registre boletim de ocorrência e reclamação oficial
Registre boletim de ocorrência, presencialmente ou pela delegacia eletrônica do seu estado, e abra reclamação no Procon e na plataforma consumidor.gov.br. Se a loja clonou a marca de uma empresa real, avise também a empresa legítima pelos canais oficiais, pois ela pode acionar a retirada do site e alertar outros consumidores.
O que NÃO fazer
- ✕Não confie no preço como referência de boa oportunidade: valor muito abaixo do mercado é o principal isca dos sites falsos.
- ✕Não pague por Pix, boleto ou transferência para lojas sem reputação só para garantir um desconto extra; esse é um pedido clássico de golpe.
- ✕Não trate o cadeado de HTTPS como prova de loja confiável; ele apenas indica conexão criptografada, não a honestidade do vendedor.
- ✕Não acredite em selos e avaliações que são apenas imagens; clique e verifique se levam ao site real do certificador ou a uma página de reputação.
- ✕Não clique em links de promoção recebidos por WhatsApp, SMS ou redes sociais sem conferir o domínio; digite você mesmo o endereço oficial da loja.
Como funciona o golpe da loja online falsa
O golpe da loja falsa segue um roteiro repetido. Os criminosos registram um domínio barato, montam uma loja com aparência profissional usando temas prontos e fotos copiadas de varejistas reais, e anunciam produtos disputados por preços muito abaixo do mercado. O objetivo é gerar urgência: contagem regressiva, estoque que se esgota e frete grátis empurram a vítima para o pagamento antes de qualquer checagem.
A divulgação acontece principalmente por anúncios patrocinados em redes sociais e por mensagens em WhatsApp e SMS. O perfil que veicula o anúncio costuma ser recente, com poucos seguidores e comentários desativados, justamente para evitar que vítimas anteriores alertem novos compradores. Depois do pagamento, o produto não chega, o atendimento some e, em pouco tempo, o site sai do ar, dificultando o rastreamento.
Segundo materiais de educação digital do CERT.br, o centro de tratamento de incidentes mantido pelo NIC.br, golpes desse tipo exploram a combinação de oferta atraente com pressão de tempo. Conhecer o roteiro ajuda a interromper o impulso de compra e a aplicar as checagens descritas a seguir antes de digitar qualquer dado de pagamento.
Checagem prática: CNPJ, domínio e reputação antes de pagar
Antes de comprar em uma loja desconhecida, faça três verificações rápidas e gratuitas. Primeiro, o CNPJ: localize-o no site e consulte a situação cadastral no portal da Receita Federal, confirmando razão social, endereço e tempo de atividade. Segundo, o domínio: no registro.br, o WHOIS mostra quando o endereço foi criado e quem é o titular; um domínio recém-registrado para uma loja supostamente tradicional é um sinal forte de alerta.
Terceiro, a reputação: pesquise o nome da loja e o domínio no Reclame Aqui, consulte a lista Evite Estes Sites do Procon-SP e use a plataforma consumidor.gov.br para ver o histórico de atendimento. Essas três frentes, somadas à leitura da política de troca e ao teste dos canais de contato, derrubam a maioria das lojas fraudulentas antes que você perca dinheiro.
Vale lembrar que nenhum sinal isolado é definitivo. Um domínio novo pode pertencer a uma loja legítima recém-aberta, e a ausência de reclamações pode significar apenas que o site é muito recente. A decisão segura vem do conjunto: CNPJ válido e coerente, domínio com histórico, reputação verificável e meios de pagamento que protegem o consumidor.
Cuida da segurança de uma empresa?
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraJá caiu no golpe? Como tentar recuperar o dinheiro
Se você já pagou e desconfia de fraude, a velocidade conta. Reúna todas as provas (anúncio, site, pedido, conversa e comprovante) e acione imediatamente o meio de pagamento. No cartão de crédito, abra a contestação junto ao emissor alegando produto não entregue; o chargeback é o caminho mais eficaz quando o pagamento foi feito por esse meio.
Se o pagamento foi por Pix, procure seu banco e solicite a abertura do MED, o Mecanismo Especial de Devolução criado pelo Banco Central para casos de golpe e fundada suspeita de fraude. O banco do recebedor analisa o pedido e pode bloquear e devolver o valor, desde que ainda haja saldo na conta. Por isso, agir nas primeiras horas aumenta a chance de recuperação.
Em paralelo, registre boletim de ocorrência pela delegacia eletrônica do seu estado e formalize a reclamação no Procon e no consumidor.gov.br. Esses registros documentam o caso, alimentam estatísticas públicas e podem ajudar autoridades a identificar a estrutura por trás de vários sites falsos operados pelo mesmo grupo.
Quando a loja falsa clona uma marca real: brand abuse e o lado das empresas
Muitos sites falsos não inventam uma loja do zero: eles clonam a marca de uma empresa real. Com técnicas de typosquatting, criam domínios quase idênticos ao original, copiam logotipo, identidade visual e até textos legais, e veiculam anúncios usando o nome da marca. É o chamado brand abuse, que transforma o cliente da empresa legítima em vítima e a própria marca em fachada do golpe.
O impacto recai sobre as duas pontas. O consumidor perde dinheiro e dados; a empresa legítima sofre dano reputacional, aumento de chamados no atendimento, pressão sobre o jurídico e perda de confiança, mesmo sem ter qualquer relação com o site fraudulento. Quanto mais conhecida a marca, maior o incentivo para que criminosos a explorem em campanhas de phishing e falsas promoções.
Para as empresas, a defesa passa por monitoramento contínuo de domínios semelhantes, registros recém-criados que citam a marca, anúncios suspeitos e perfis falsos em redes sociais, com pedidos rápidos de retirada (takedown) quando uma fraude é confirmada. Detectar o site clone cedo reduz o número de vítimas e protege a reputação construída ao longo de anos.
Como a Decripte ajuda empresas a combater sites falsos e brand abuse
A Decripte é uma empresa brasileira de cibersegurança B2B que atende organizações de todos os portes, de 1 a mais de 100.000 colaboradores. Nosso foco é dar visibilidade às ameaças que exploram a marca e a presença digital das empresas, incluindo domínios clonados, typosquatting, phishing e perfis falsos que se passam pela organização para enganar clientes.
Oferecemos um plano gratuito de Gestão de Ameaças para que as empresas comecem a monitorar sua superfície de exposição sem custo inicial. A ideia é simples: quanto antes um site falso ou um domínio suspeito é identificado, mais rápido é possível agir para reduzir o alcance do golpe, proteger os consumidores e preservar a reputação da marca.
Se a sua empresa já enfrentou clones, anúncios fraudulentos usando seu nome ou aumento de reclamações por compras que nunca foram feitas com você, vale estruturar um monitoramento contínuo. Falar com um time especializado em cibersegurança ajuda a transformar reações pontuais em uma defesa organizada e mensurável.
Termos importantes
- Typosquatting
- Registro de domínios muito parecidos com o de uma marca real, explorando erros de digitação, letras trocadas, hífens ou terminações diferentes para enganar quem busca o site oficial.
- Brand abuse
- Uso indevido da marca de uma empresa, como logotipo, nome e identidade visual, em sites, anúncios e perfis falsos para aplicar golpes ou desviar clientes, gerando dano reputacional.
- Chargeback
- Contestação de uma compra feita junto ao emissor do cartão de crédito; permite ao consumidor solicitar o estorno quando, por exemplo, o produto pago não é entregue.
- MED (Mecanismo Especial de Devolução)
- Procedimento do Banco Central que permite ao banco tentar bloquear e devolver valores de transações Pix em casos de golpe ou fundada suspeita de fraude, dentro de prazos definidos.
Perguntas frequentes
Como saber se um site de compras é falso antes de pagar?
Verifique o CNPJ na Receita Federal, consulte o WHOIS do domínio no registro.br para checar a data de criação e o titular, e pesquise a reputação no Reclame Aqui e na lista Evite Estes Sites do Procon-SP. Confirme endereço, política de troca e canais de atendimento reais. Preço bom demais, pagamento só por Pix e domínio recém-criado são sinais de alerta.
O cadeado de segurança (HTTPS) garante que a loja é confiável?
Não. O cadeado indica que a conexão é criptografada, mas não diz nada sobre a honestidade do vendedor. Sites falsos também obtêm certificados HTTPS facilmente. Use o cadeado como requisito mínimo, nunca como prova de idoneidade, e combine sempre com a checagem de CNPJ, domínio e reputação.
Comprei e o produto não chegou. Como recuperar o dinheiro?
Reúna provas (anúncio, pedido, comprovante e conversas) e acione o meio de pagamento o quanto antes. No cartão de crédito, abra a contestação (chargeback) por produto não entregue. No Pix, peça ao seu banco a abertura do MED, o Mecanismo Especial de Devolução do Banco Central. Registre também boletim de ocorrência e reclamação no Procon e no consumidor.gov.br.
O que é o MED do Pix e quando devo usá-lo?
O MED (Mecanismo Especial de Devolução) é um procedimento do Banco Central que permite ao banco tentar bloquear e devolver valores transferidos por Pix em casos de golpe ou fundada suspeita de fraude. Use-o assim que perceber que caiu em um site falso, pois há prazos e o dinheiro pode ser sacado rapidamente pelo golpista.
Por que sites falsos pedem pagamento por Pix ou boleto?
Porque esses meios dificultam o estorno em comparação ao cartão de crédito. Muitos golpistas ainda oferecem desconto extra para que a vítima abandone o cartão e pague por Pix ou boleto. Ao comprar em loja desconhecida, prefira o cartão, que permite contestação caso o produto não chegue.
Como verificar o CNPJ e o domínio de uma loja?
Consulte o CNPJ informado pela loja no portal da Receita Federal e confira situação cadastral, razão social, endereço e tempo de atividade. Para o domínio, use o WHOIS do registro.br em endereços .com.br: ele mostra a data de criação e o titular. Domínio recém-criado ou titular que não corresponde à empresa anunciada são fortes indícios de fraude.
Um site falso está usando a marca da minha empresa. O que fazer?
Reúna evidências do domínio clonado, dos anúncios e dos perfis falsos e acione os canais de retirada (takedown) do provedor e das plataformas. Alerte seus clientes pelos canais oficiais e registre ocorrência. Para evitar novos casos, estruture um monitoramento contínuo de domínios semelhantes, typosquatting e brand abuse que citem sua marca.
Como a Decripte ajuda empresas contra clones e phishing de marca?
A Decripte é uma empresa brasileira de cibersegurança B2B que atende de 1 a mais de 100.000 colaboradores. Monitoramos domínios clonados, typosquatting, phishing e perfis falsos que exploram a marca, com pedidos de retirada quando há fraude. Oferecemos um plano gratuito de Gestão de Ameaças para começar a dar visibilidade a essa exposição sem custo inicial.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.
