Base de Conhecimento · Mais de 30 perguntas · Detalhes técnicos completos

Perguntas frequentes

Tudo sobre nosso Pipeline de detecção, mais de 30 analisadores, mais de 50 integrações com fornecedores, a API de ameaças gratuita, a metodologia de pontuação, os feeds de dados e como protegemos os usuários contra golpes de phishing e de criptomoedas.

Mais de 176 mil
Domínios monitorados
Mais de 952 mil
Ameaças à API
50+
Relatórios de fornecedores
30+
Analisadores sintáticos
Mais de 50 mil
Denúncias de abuso
<0,01%
Falsos positivos

Sobre o PhishDestroy

Quem somos, nossa missão e o que conquistamos

O que é o PhishDestroy?

PhishDestroy é uma plataforma independente e não comercial de inteligência contra ameaças que vem combatendo operações de phishing, golpes envolvendo criptomoedas e drenagem de carteiras desde 2019. Somos uma pequena equipe de caçadores de ameaças independentes que atua em todo o ciclo de vida dos ataques — desde a detecção até a remoção.

Nossa infraestrutura inclui:

  • Mais de 30 analisadores sintáticos proprietários monitoramento em tempo real de registros de CT, DNS, anúncios, redes sociais e feeds de parceiros
  • Distribuição de feeds em tempo real para mais de 50 fornecedores de listas de bloqueio e antivírus — Cloudflare, Google Safe Browsing, Microsoft, VirusTotal, ESET, Bitdefender, Netcraft, Norton e outros
  • API gratuita de ameaças em api.destroy.tools abrangendo Mais de 834 mil ameaças com avaliação de risco em tempo real
  • Lista de destruição — listas de bloqueio de código aberto em GitHub em 7 formatos (JSON, TXT, Hosts, AdBlock, Dnsmasq, Unbound, RPZ)
  • Banco de dados de domínio público em phishdestroy.io/domain com mais de 175.000 domínios analisados

Nossos resultados: Mais de 175.000 domínios de phishing rastreados, Mais de 50.000 denúncias de abuso registradas, Mais de 152.000 remoções coordenadas, com uma taxa de falsos positivos inferior a 0,01%.

Quem administra o PhishDestroy? É uma empresa?

Não, o PhishDestroy é não é uma empresa. Trata-se de um projeto independente e sem fins lucrativos, conduzido por uma pequena equipe de caçadores de ameaças com experiência em segurança cibernética, perícia em blockchain e tratamento de abusos.

Nós somos totalmente independente:

  • Sem apoio corporativo nem investidores
  • Nenhuma retirada de listagem por pagamento — nunca, em hipótese alguma
  • Não aceitamos doações nem patrocínios
  • Não está afiliado a nenhum registrador, provedor de hospedagem ou fornecedor de antivírus

Começamos combatendo golpistas do Steam e anúncios com spam. Hoje, nosso foco abrange o phishing global relacionado a criptomoedas, redes de drenagem de fundos e operações fraudulentas em grande escala. Realizamos um trabalho completo em cada caso: rastreamos o dinheiro na blockchain, mapeamos a infraestrutura e associamos as campanhas a operadores específicos. Saiba mais em nosso Página “Sobre”.

Quais são as principais conquistas do PhishDestroy?

Desde 2019, alcançamos:

175,000+ Domínios de phishing detectados e rastreados em mais de 350 marcas
50,000+ Denúncias formais de abuso apresentadas a registradores, provedores de hospedagem e fornecedores de antivírus
152,000+Coordenação bem-sucedida de remoções de domínios
834,000+Ameaças indexadas em nosso banco de dados da API
500,000+Domínios históricos arquivados (mais de 5 anos de dados)
50+Empresas de segurança que recebem nossos dados sobre ameaças
30+Analisadores proprietários em operação 24 horas por dia, 7 dias por semana
13+Fontes da comunidade agregadas em nossas listas de bloqueio
<0,01%Taxa de falsos positivos

Principais investigações: XMRWallet: A Verdade à Luz (carteira falsa de Monero que roubou milhões ao longo de 10 anos), Painel do TrustWallet foi exposto (vazamento de US$ 8,5 milhões com 1.900 registros de bate-papo divulgados), O Império das Fraudes do Projeto (centenas de domínios coordenados).

Será que tudo é mesmo de graça?

Sim, 100% gratuito. Não vendemos nada, não aceitamos doações e nunca cobramos por nenhum serviço:

Como posso entrar em contato com a PhishDestroy?

Fluxo de trabalho e metodologia de detecção

Nosso fluxo de trabalho de inteligência contra ameaças em quatro fases, em detalhes

Como funciona o Pipeline de detecção em quatro fases?

Nosso Pipeline processa milhares de domínios diariamente, passando por quatro fases:

Fase 1: Descoberta e ingestão preventivas

Utilizamos uma rede distribuída de Mais de 30 analisadores sintáticos proprietários para identificar domínios maliciosos logo no início:

  • Registros do Certificate Transparency (CT) — monitoramento em tempo real de novos certificados SSL para detectar domínios de phishing poucos minutos após o registro
  • Monitoramento de DNS — monitoramento de novos registros de domínios e configurações suspeitas
  • Detecção de malvertising — monitoramento contínuo do Google Ads, dos resultados de busca otimizados para SEO e das campanhas em alta nas redes sociais, como Twitter/X, YouTube e Telegram
  • Typosquatting — utilizando o dnstwist e heurísticas personalizadas para detectar domínios semelhantes que têm como alvo marcas consagradas
  • Inteligência comunitária — captação em tempo real por meio do nosso bot do Telegram, e-mail e feeds de parceiros
  • Agregação de feeds de phishing — integração com mais de 13 fontes da comunidade, incluindo OpenPhish, PhishTank e URLhaus

Fase 2: Análise e pontuação

  • 95 motores AV via VirusTotal
  • Enriquecimento de dados WHOIS/DNS (registrador, servidores de nomes, geolocalização por IP, país)
  • Análise do certificado SSL (emissor, SANs, datas de validade)
  • Captura de tela e correspondência de conteúdo visual
  • Identificação de kits de phishing
  • Cálculo da pontuação de risco (0-100) a partir de mais de 12 sinais ponderados

Fase 3: Relatórios globais de fornecedores

Assim que for confirmado, enviamos para Mais de 50 fornecedores simultaneamente:

CloudflareGoogle Safe BrowsingSegurança da MicrosoftVirusTotalNetcraftESETBitdefenderNorton Safe WebAviraPhishTankDr.WebNavegação Segura do YandexURLScan.ioPolySwarmAvaliação do siteUrlqueryPhishStatsPhishReportIsItPhishCentro de Ameaças

Além disso, notificações formais de abuso aos registradores de domínios e provedores de hospedagem, acompanhadas de pacotes de provas.

Fase 4: Transparência Pública

O que é a metodologia de pontuação de risco?

Cada domínio recebe um pontuação de risco de 0 a 100 com base em sinais ponderados:

SinalPontosDescrição
Lista de bloqueios selecionada+40Presente em nossa lista principal de itens a serem eliminados
DNS ativo+30Atualmente, o domínio é resolvido por meio do DNS
Relatado pela comunidade+20Sinalizados pelos feeds da comunidade
De várias fontes+10Confirmado por pelo menos duas fontes independentes
Palavras-chave suspeitas+5 eachMetamask, carteira, airdrop, conectar, resgatar, etc.
TLD de alto risco+5.xyz, .top, .club, .icu, .buzz, .cfd, etc.

Níveis de gravidade:

70-100 CRÍTICO40-69 ALTO20-39 MÉDIO1-19 BAIXO

Além disso, nossos relatórios internos sobre domínios (em phishdestroy.io/domain) utilizam um sistema de pontuação aprimorado e independente que incorpora detecções do VirusTotal, tempo de existência do WHOIS, padrões de SSL, análise de conteúdo, grau de falsificação de marca e taxas históricas de abuso de registradores, abrangendo mais de 12 indicadores.

O que diferencia o PhishDestroy de outras listas de bloqueio?

A maioria das listas de bloqueio apenas lista domínios. Oferecemos inteligência contra ameaças de ponta a ponta:

  • Detecção preventiva — capturamos os domínios poucos minutos após o registro, antes que cheguem às vítimas
  • Investigação aprofundada — rastreamos transações de criptomoedas na cadeia de blocos, mapeamos a infraestrutura, descompilamos kits de phishing e associamos as campanhas aos operadores
  • Acesso “de nível raiz” — obtivemos acesso a painéis de drainer, ao código-fonte do kit de phishing e aos registros de bate-papo dos operadores, o que nos proporcionou uma visão sem precedentes sobre as TTPs dos invasores
  • Remoção ativa — não nos limitamos a sinalizar domínios; enviamos pacotes de evidências aos registradores, provedores de hospedagem e mais de 50 fornecedores de antivírus e acompanhamos cada domínio até que ele seja desativado
  • Verificação de conteúdo — nossos feeds com verificação de conteúdo vão além do DNS: realizamos solicitações HTTP reais para verificar se a página de phishing está ativa, detectando tentativas de cloaking
  • Prestação de contas do registrador — acompanhamos publicamente as taxas de abuso e os tempos de resposta dos registradores, promovendo a prestação de contas por parte dos provedores negligentes

O que é verificação de conteúdo? Por que ela é importante?

A verificação de conteúdo significa que não nos limitamos a verificar se um domínio é resolvido (DNS), mas sim que realmente acessamos a página e verificamos se há conteúdo de phishing.

Isso é importante porque os golpistas usam o cloaking: eles exibem páginas falsas ou em branco para scanners automatizados, enquanto mostram a página de phishing real às vítimas humanas. Um domínio que NÃO conste em nossa lista de conteúdos verificados não isso não significa que seja seguro — pode ser apenas que esteja camuflado.

Nossos feeds com conteúdo verificado:

  • Conteúdo principal — domínios selecionados com conteúdo de phishing ativo e verificado (atualizados a cada 12 horas)
  • Conteúdo da comunidade — feeds agregados com conteúdo verificado (atualizados a cada 24 horas)

Para obter proteção máxima, use nosso Ensino Fundamental – Todas as séries ou Geral da Comunidade feeds, que incluem todos os domínios, independentemente do status da verificação de conteúdo.

Os relatórios de remoção são automatizados?

Não. A detecção é automatizada — os classificadores identificam domínios suspeitos em questão de minutos —, mas nada é comunicado automaticamente a um registrador ou provedor de hospedagem. Cada solicitação de remoção que enviamos é uma conclusão revisada por pessoas e respaldada por evidências, baseada em denúncias das vítimas e em nossa própria investigação.

O que um registrador realmente recebe do PhishDestroy não é um aviso automático genérico. Trata-se de um e-mail específico que indica o motivo concreto, os fatos que o comprovam, capturas de tela e documentação. Em casos recorrentes ou que foram encaminhados para uma instância superior, acrescentamos uma explicação precisa do que ainda está errado, além de evidências adicionais — detecções do VirusTotal, resultados em bancos de dados de inteligência de ameaças e indicadores relacionados.

As únicas mensagens automáticas nesta troca de mensagens são os próprios avisos automáticos de confirmação dos registradores. Do nosso lado, trata-se de uma constatação comprovada e de um pedido formal para que o domínio seja analisado e sejam tomadas medidas — não se trata de spam automático.

Qual é o nível de precisão do PhishDestroy?

Nossa taxa de falsos positivos está abaixo de 0.01%. Cada detecção automatizada passa por várias camadas de verificação antes que um relatório seja gerado. Nós mantemos:

  • Lista de permissões — uma lista selecionada manualmente de domínios comprovadamente confiáveis que nunca são sinalizados
  • Recursos com prazo de 48 horas — cada falso positivo é analisado e resolvido rapidamente
  • Aperfeiçoamento contínuo do classificador — acompanhamos o resultado de cada recurso e atualizamos a lógica de detecção
  • Validação cruzada com múltiplas fontes — os domínios devem acionar vários sinais antes de serem confirmados

Quais kits de phishing e drainers vocês monitoram?

Acompanhamos todas as principais famílias de programas que esvaziam carteiras e todos os tipos de kits de phishing:

  • Uso indevido do Wallet Connect — mensagens falsas do WalletConnect roubam aprovações
  • Drenador do Inferno — um dos maiores ladrões de ativos em várias cadeias
  • Angel Drainer — drainer avançado com suporte a NFT
  • Escorredor Rosa — combinação de engenharia social + drenagem
  • Phishing relacionado a licenças/aprovações — Vulnerabilidades relacionadas à aprovação de tokens ERC-20 (Permit2)
  • Roubo da frase-semente — formulários falsos do tipo “verificar carteira” ou “sincronizar carteira”
  • Golpes relacionados a AML/KYC — páginas falsas de verificação de conformidade
  • Golpes relacionados a airdrops — páginas falsas de resgate de tokens
  • Golpes de investimento — plataformas de negociação fraudulentas, esquemas de Ponzi
  • Drenador Solana — Kits de drenagem de carteiras específicos para Solana

Navegue pelo nosso banco de dados por tipo de golpe, método de fraude ou marca visada.

API de ameaças e feeds de dados

Acesso gratuito à API, feeds de listas de bloqueio e formatos de download

O que é a API PhishDestroy Threat?

O API PhishDestroy Threat é um API gratuita e aberta fornecendo uma avaliação de risco de domínios em tempo real em Mais de 834 mil ameaças. Não é necessária nenhuma chave de API.

Desfechos:

MétodoPonto finalDescrição
GET/v1/check?domain=Verificação de um único domínio com pontuação de risco e gravidade
POST/v1/check/bulk Verificação em lote até 500 domínios mediante solicitação
GET/v1/search?q=Pesquisar domínios na lista de bloqueados por palavra-chave
GET/v1/feed/{list}Baixar feeds completos (principal, comunitário, ativo)
GET/v1/statsEstatísticas em tempo real e contagem de domínios

Exemplo:

curl "https://api.destroy.tools/v1/check?domain=suspicious-site.xyz"

A resposta inclui: threat (booleano), risk_score (0-100), severity (crítico/alto/médio/baixo), lists (quais feeds contêm o domínio), e last_seen carimbo de data e hora.

Quais feeds de dados estão disponíveis?

Oferecemos 7 fontes de dados distintas por meio do Repositório Destroylist:

FeedDescriçãoAtualização
PrimárioDomínios de phishing selecionados por nossos analisadoresEm tempo real
Ao Vivo do PrimárioDomínios primários cuja atividade foi verificada por meio do DNSA cada 24 horas
Conteúdo principalConteúdo de phishing primário + verificado via HTTPA cada 12 horas
ComunidadeDados agregados de mais de 13 fontes externasA cada 2 horas
Comunidade ao VivoDomínios da comunidade cuja validade foi verificada por meio do DNSA cada 24 horas
Conteúdo da comunidadeComunidade + conteúdo verificado como phishingA cada 24 horas
Lista de permissõesLista de proteção contra falsos positivosManual

Recomendado: Uso list.json ou active_domains.json para produção. Use blocklist.json para obter a máxima cobertura.

Todos os feeds disponíveis em JSON e TXT formato. Listas de domínios raiz (sem subdomínios, excluindo provedores de hospedagem) também estão disponíveis separadamente.

Quais formatos de download são compatíveis?

Todos os feeds estão disponíveis em 7 formatos para integração imediata:

FormatoCaso de uso
TXTLista simples de domínios — universal
JSONDados estruturados — integrações de API, scripts
Anfitriões Pi-hole, /etc/hosts, arquivo hosts do Windows
AdBlockuBlock Origin, AdGuard, AdGuard Home
DnsmasqServidor DNS Dnsmasq
Sem limitesFirewalls pfSense e OPNsense
RPZBIND, Knot DNS (Zona de Política de Resposta)

Todos os formatos estão disponíveis em: github.com/phishdestroy/destroylist/tree/main/rootlist/formats/

Como faço para usar a API no meu código?

Python:

import requests

r = requests.get(f"https://api.destroy.tools/v1/check?domain={domain}")
data = r.json()
if data["threat"]:
    print(f"BLOCKED: {data['severity']} (score: {data['risk_score']})")

JavaScript:

const r = await fetch(`https://api.destroy.tools/v1/check?domain=${domain}`);
const data = await r.json();
if (data.threat) console.warn("PHISHING:", data.severity, data.risk_score);

Verificação em massa (até 500 domínios):

curl -X POST "https://api.destroy.tools/v1/check/bulk" \
  -H "Content-Type: application/json" \
  -d '{"domains":["site1.com","site2.xyz","site3.top"]}'

Verificação simples da lista de bloqueios (Bash):

curl -s https://raw.githubusercontent.com/phishdestroy/destroylist/main/list.txt \
  | grep -q "suspicious-domain.com" && echo "BLOCKED"

O que são listas raiz e por que devo usá-las?

Listas de raiz contêm apenas domínios de nível raiz — sem subdomínios — e os provedores de hospedagem (Vercel, Pages.dev, Netlify etc.) estão excluídos. Isso os torna ideais para:

  • Regras de firewall — bloquear domínios inteiros, e não apenas subdomínios específicos
  • Bloqueio de DNS — seguro para resolvedores de DNS, sem risco de bloquear plataformas de hospedagem legítimas
  • Análise do registrador — dados limpos para cálculos da taxa de abuso

Três variantes disponíveis:

  • Todas as raízes — todos os domínios raiz confirmados
  • Somente ao vivo — Raízes ativas verificadas pelo DNS
  • Apenas serviços — hospedar subdomínios de plataformas separadamente (Vercel, Pages.dev, Netlify, etc.)

Relatórios de segurança de domínios

Entendendo nosso banco de dados de inteligência de domínios

Que informações constam em um relatório de segurança de domínio?

Cada relatório de domínio é um dossiê de inteligência abrangente que contém:

  • Pontuação de risco — Índice de ameaça composto de 0 a 100 com classificação de gravidade
  • Resultados do VirusTotal — detecções de 95 mecanismos antivírus, com detalhamento por fornecedor
  • Captura de tela — imagem capturada no momento da varredura (mais de 75 mil capturas de tela armazenadas localmente)
  • Dados WHOIS — registrador, data de criação, informações do registrante, servidores de nomes
  • Registros DNS — A, MX, NS, TXT com geolocalização por IP e bandeiras de países
  • Certificado SSL — emissor, validade, Nomes Alternativos do Assunto (SANs)
  • Status da lista de bloqueados — presença em mais de 11 listas de bloqueio de segurança importantes
  • Tipo de golpe — roubo de carteiras, roubo de frases-semente, golpes de airdrop, golpes de investimento, etc.
  • Focado na marca — qual marca legítima está sendo falsificada (mais de 350 marcas monitoradas)
  • Domínios relacionados — outros domínios que compartilham infraestrutura, favicon ou kit de phishing
  • Cloudflare Radar — status da categorização de domínios
  • Análise de URLQuery — análise de segurança adicional

Por que meu domínio legítimo aparece no seu banco de dados?

Possíveis motivos:

  • Seu domínio era já comprometido e usado para phishing sem o seu conhecimento
  • Seu domínio compartilha infraestrutura (IP, servidores de nomes) com domínios conhecidos por praticarem phishing
  • Um classificador automatizado identificou um falso positivo — isso ocorre em <0,01% dos casos
  • Alguém denunciou seu domínio por meio dos canais da comunidade

Importante: O PhishDestroy não bloqueia domínios diretamente. Nós enviamos relatórios aos fornecedores de antivírus e aos registradores, que tomam suas próprias decisões quanto ao bloqueio. Se o seu domínio foi sinalizado incorretamente, apresentar um recurso — respondemos em até 48 horas e adicionamos os domínios aprovados à nossa lista de permissões permanente.

Com que frequência os dados são atualizados?

Tipo de dadosFrequência
Detecção de novos domíniosEm tempo real (logs de CT, analisadores)
Análises do VirusTotalA cada 12 a 24 horas
Status: ativo/inativoVárias vezes por dia
Enriquecimento de DNS/WHOISAo detectar + ao ocorrer alteração
Capturas de telaNa primeira detecção + atualização periódica
Sincronização da lista de bloqueadosA cada 4 a 6 horas (armazenamento em cache do ETag)
Sincronização de feed da APIPor hora
Geração de cartas OGSob demanda + a cada 2 horas
Lista de bloqueios da comunidadeA cada 2 horas (mais de 13 fontes)

Recursos e exclusão da lista

Como resolver falsos positivos e disputas de domínio

Como posso contestar um falso positivo?

Duas formas de recorrer:

  1. Formulário de Recurso (mais rápido) — envie seu domínio com comprovante de legitimidade
  2. Tópico no GitHub — abrir um ticket com provas

Processo:

  • Analisamos dentro de 48 horas (a maioria no mesmo dia)
  • Se for aprovado, o domínio é adicionado à nossa lista permanente lista de permissões
  • A lista de permissões é pública: allowlist.json
  • As alterações são propagadas imediatamente para nossa API e nosso banco de dados

Todo o processo é totalmente gratuito. Nunca cobramos pelas solicitações de revisão ou pelas exclusões da lista — nunca cobramos e nunca cobraremos.

Qual é o nível de confiabilidade e transparência do seu processo de tratamento de falsos positivos?

Reestruturamos todo o Pipeline de tratamento de reclamações e falsos positivos. Agora ele é muito mais rápido, mais confiável e amplamente automatizado: um domínio confiável (classificada na lista global da Tranco) com detecções de corrente zero é retirado da lista automaticamente, em poucos minutos de recurso — sem espera por um atendente humano. Todo o restante é analisado pela equipe dentro do nosso SLA de 48 horas.

Nossa taxa real de falsos positivos é abaixo de 0,01%. Quando cometemos um erro, corrigimos rapidamente e de forma transparente — não temos medo de admitir nossos erros.

Defendemos a transparência e a verificabilidade. Cada adição e cada remoção são públicas e auditáveis em nosso repositório aberto, github.com/PhishDestroy/destroylist — o histórico completo do que incluímos e retiramos da lista está disponível para qualquer pessoa. Mediante solicitação, também podemos divulgar nossos prazos de processamento, a lista de recursos rejeitados com os motivos e as evidências que fundamentam qualquer inclusão na lista.

A exclusão da lista é sempre gratuita. Qualquer pessoa que cobre uma taxa para remover seu nome do PhishDestroy está envolvida em um golpe.

Quanto custa o cancelamento da cotação?

Nada. Zero. De graça. Sempre.

Qualquer terceiro que afirme poder remover seu domínio do PhishDestroy em troca de dinheiro está operando um golpe. Não temos nenhum programa pago de remoção de listagem e nunca teremos. Denuncie esses serviços para nós.

Meu domínio foi liberado, mas ainda está bloqueado em outro lugar

O PhishDestroy é uma das muitas fontes. Mesmo depois de limparmos seu domínio, outros sistemas ainda podem sinalizá-lo:

  • Google Safe Browsing — enviar para safebrowsing.google.com
  • Fornecedores de antivírus — cada um mantém listas de bloqueio independentes; entre em contato com o canal de denúncias de FP de cada fornecedor
  • Avisos do navegador — pode manter dados antigos em cache por 24 a 48 horas

Verifique seu domínio em VirusTotal para verificar quais fornecedores específicos estão sinalizando o problema e, em seguida, entrar em contato com cada um deles individualmente.

Como funciona o processo de conformidade da ICANN?

Ao enviarmos denúncias de abuso, seguimos as normas da ICANN:

  • Notificações formais de abuso aos registradores, por meio dos contatos para denúncias de abuso do WHOIS
  • Pacotes completos de provas — resultados de varredura, capturas de tela, relatórios em PDF com metadados
  • A ICANN exige que que os registradores analisem as denúncias de abuso em até 24 horas
  • Rede detecção condicional — se um domínio permanecer ativo após 24 horas, encaminhamos o caso com alertas de acompanhamento

Quando um domínio recebe entre 10 e 30 ou mais denúncias de abuso e o registrador continua ignorando-as por meses, divulgamos isso publicamente. O registrador não está mais apenas sendo passivo — ele, na prática, fornece infraestrutura para atividades ilegais. Nosso banco de dados público promove a prestação de contas.

Recursos para vítimas

Medidas de emergência e orientações de proteção

Fui vítima de um golpe. O que devo fazer AGORA MESMO?

O tempo é fundamental. Aja imediatamente:

  1. REVOQUE as aprovações de tokens AGORA — acesse revoke.cash revogar imediatamente quaisquer aprovações pendentes de carteiras. Isso interrompe a perda contínua de recursos.
  2. Entre em contato com a SEAL 911 — resposta a incidentes de emergência envolvendo criptomoedas por profissionais de segurança. Acesse phishdestroy.io/ação-crítica
  3. Transferir os fundos restantes — transferir todos os ativos da carteira comprometida para uma carteira nova e segura
  4. Denunciar à polícia — registre uma ocorrência de crime cibernético na polícia local. Obtenha o número do processo.
  5. Denunciar publicamente — arquivo sobre Chainabuse para alertar outras pessoas e deixar um registro por escrito
  6. Guarde TODAS as provas — endereços de carteiras, IDs de transações, capturas de tela, registros de bate-papo, e-mails, o URL de phishing

NÃO entre em contato com “serviços de recuperação” encontrados na internet. Mais de 95% deles são golpes secundários que têm como alvo as vítimas.

É possível recuperar criptomoedas roubadas?

Às vezes, mas só se você agir rápido:

  • Aprovações de tokens ainda não executadas: Se você tiver assinado apenas uma aprovação maliciosa, revogue-a em revoke.cash impede imediatamente novas perdas
  • Saques na CEX: Se o criminoso enviar fundos para a Binance, a Coinbase etc., as autoridades policiais podem congelar as contas — mas precisam do seu boletim de ocorrência
  • Pausas na ponte: Algumas pontes entre cadeias suspenderam as transações assim que foram notificadas sobre fraudes

Uma dose de realidade: A maioria dos roubos de criptomoedas na cadeia de blocos é irreversível. A prevenção é a melhor defesa — use carteiras de hardware, verifique os URLs e nunca compartilhe frases-semente.

Como posso identificar um site de phishing?

Sinais de alerta:

  • Incompatibilidade de URL — “metamask-login.com” em vez de “metamask.io”
  • Expressões que denotam urgência — “Aja agora ou perca o acesso”, “Sua carteira será bloqueada”
  • Solicitações de frase-semente — NENHUM serviço legítimo JAMAIS pedirá sua frase-semente
  • Janelas pop-up inesperadas da carteira — Solicitações do WalletConnect ou do MetaMask que você não iniciou
  • Bom demais para ser verdade — airdrops gratuitos, retornos garantidos, “resgate sua recompensa”
  • Anúncios nas redes sociais — O phishing recorre intensamente a anúncios pagos no Twitter, no Google e no Telegram
  • Golpes por mensagem direta/resposta — o “atendimento ao cliente” entra em contato com você primeiro

Proteção: Sempre verifique os domínios em phishdestroy.io/domain ou use nosso Bot do Telegram antes de conectar sua carteira. Leia nosso guia completo: Noções básicas de segurança em criptomoedas

Os “serviços de recuperação de criptomoedas” são legítimos?

Quase nunca. Mais de 95% dos “serviços de recuperação” são golpes secundários visando pessoas que já perderam dinheiro.

Sinais de alerta:

  • Eles garantem a recuperação (algo impossível de garantir)
  • Eles exigem pagamento antecipado
  • Eles te encontraram por meio de comentários nas redes sociais sobre ter sido vítima de um golpe
  • Eles afirmam ser “hackers éticos” capazes de “reverter transações”
  • Eles pedem sua frase-semente ou acesso à sua carteira

Ajuda confiável (toda gratuita): SEAL 911, as autoridades locais, a equipe de suporte da sua corretora, Chainabuse para divulgação pública.

Integração e configuração

Como integrar o PhishDestroy à sua infraestrutura de segurança

Como faço para adicionar o Destroylist ao Pi-hole?

Acesse o Pi-hole Admin → ConfiguraçõesListas de bloqueio → cole este URL:

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/hosts.txt

Salve e atualize o gravity. A lista é atualizada automaticamente de acordo com a programação do Pi-hole.

Como faço para adicionar o Destroylist ao uBlock Origin ou ao AdGuard?

uBlock Origin: Configurações → Listas de filtros → Importar → colar:

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/adblock.txt

AdGuard Home: Filtros → Listas de bloqueio de DNS → Adicionar lista de bloqueio → cole a mesma URL.

Como faço para adicionar o Destroylist ao pfSense / OPNsense?

Para o resolvedor DNS do Unbound (pfSense/OPNsense):

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/unbound.conf

Para o BIND ou o Knot DNS (formato RPZ):

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/rpz.zone

Para o Dnsmasq:

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/dnsmasq.conf

Posso contribuir com o PhishDestroy?

Sim! Veja como:

  • Denunciar domínios de phishingBot do Telegram ou abuse@phishdestroy.io
  • Integre nossas listas de bloqueio — adicionar Lista de destruição ao seu DNS, firewall ou ferramentas de segurança
  • Use nossa API — criar ferramentas, bots ou painéis de controle usando o API de ameaças
  • Enviar PRs — melhorias no algoritmo de detecção, dicas de integração, informações atualizadas
  • Divulgar a causa — compartilhe nossa pesquisa nas redes sociais

Não aceitamos doações — a melhor maneira de nos apoiar é tornando nossos dados úteis.

Para que posso usar os dados do PhishDestroy?

Nossos dados (licença MIT) são utilizados para:

  • Segurança de rede — regras de firewall, bloqueio de DNS, filtragem de e-mail
  • Automação — Integração entre SIEM e SOC, resposta automatizada a incidentes
  • Pesquisa sobre ameaças — análise de campanhas de phishing, tendências de falsificação de identidade de marcas
  • Treinamento em ML/IA — conjuntos de dados para treinamento de modelos de detecção de phishing
  • Análise de tendências — taxas de abuso de registradores, padrões de risco de TLDs, evolução dos drainer
  • Provas legais — relatórios de domínios com registro de data e hora para autoridades policiais e sinistros de seguros

Cofre histórico: Mais de 500.000 domínios arquivados ao longo de mais de 5 anos. Entre em contato contact@phishdestroy.io para acesso.

Recursos úteis

⚡ Emergência
Fui vítima de um golpe — e agora?
Medidas de emergência: SEAL 911, revogação de autorizações, boletim de ocorrência, preservação de provas.
Documentação da API de Ameaças
API gratuita: verificação de domínios, verificação em massa (500 por solicitação), pesquisa por palavra-chave, feeds completos. Não é necessária chave de API.
Destroylist no GitHub
Listas de bloqueio de código aberto: 7 feeds, 7 formatos. Compatível com Pi-hole, AdGuard, pfSense e BIND.
Noções básicas de segurança em criptomoedas
Carteiras de hardware, autenticação de dois fatores (2FA), verificação de URL, defesa contra engenharia social.
Anatomia de uma remoção
Passo a passo: detecção, mais de 50 relatórios de fornecedores, conformidade com a ICANN, arquivamento de evidências.
Lista de verificação de segurança
Guia passo a passo para reforço de segurança — carteiras, navegadores, DNS e melhores práticas de autenticação de duas etapas (2FA).

Ainda tem dúvidas?

Não conseguiu encontrar o que procurava? Entre em contato diretamente conosco — estamos sempre dispostos a ajudar.