Sobre o PhishDestroy
Quem somos, nossa missão e o que conquistamos
O que é o PhishDestroy?
PhishDestroy é uma plataforma independente e não comercial de inteligência contra ameaças que vem combatendo operações de phishing, golpes envolvendo criptomoedas e drenagem de carteiras desde 2019. Somos uma pequena equipe de caçadores de ameaças independentes que atua em todo o ciclo de vida dos ataques — desde a detecção até a remoção.
Nossa infraestrutura inclui:
- Mais de 30 analisadores sintáticos proprietários monitoramento em tempo real de registros de CT, DNS, anúncios, redes sociais e feeds de parceiros
- Distribuição de feeds em tempo real para mais de 50 fornecedores de listas de bloqueio e antivírus — Cloudflare, Google Safe Browsing, Microsoft, VirusTotal, ESET, Bitdefender, Netcraft, Norton e outros
- API gratuita de ameaças em api.destroy.tools abrangendo Mais de 834 mil ameaças com avaliação de risco em tempo real
- Lista de destruição — listas de bloqueio de código aberto em GitHub em 7 formatos (JSON, TXT, Hosts, AdBlock, Dnsmasq, Unbound, RPZ)
- Banco de dados de domínio público em phishdestroy.io/domain com mais de 175.000 domínios analisados
Nossos resultados: Mais de 175.000 domínios de phishing rastreados, Mais de 50.000 denúncias de abuso registradas, Mais de 152.000 remoções coordenadas, com uma taxa de falsos positivos inferior a 0,01%.
Quem administra o PhishDestroy? É uma empresa?
Não, o PhishDestroy é não é uma empresa. Trata-se de um projeto independente e sem fins lucrativos, conduzido por uma pequena equipe de caçadores de ameaças com experiência em segurança cibernética, perícia em blockchain e tratamento de abusos.
Nós somos totalmente independente:
- Sem apoio corporativo nem investidores
- Nenhuma retirada de listagem por pagamento — nunca, em hipótese alguma
- Não aceitamos doações nem patrocínios
- Não está afiliado a nenhum registrador, provedor de hospedagem ou fornecedor de antivírus
Começamos combatendo golpistas do Steam e anúncios com spam. Hoje, nosso foco abrange o phishing global relacionado a criptomoedas, redes de drenagem de fundos e operações fraudulentas em grande escala. Realizamos um trabalho completo em cada caso: rastreamos o dinheiro na blockchain, mapeamos a infraestrutura e associamos as campanhas a operadores específicos. Saiba mais em nosso Página “Sobre”.
Quais são as principais conquistas do PhishDestroy?
Desde 2019, alcançamos:
| 175,000+ | Domínios de phishing detectados e rastreados em mais de 350 marcas |
| 50,000+ | Denúncias formais de abuso apresentadas a registradores, provedores de hospedagem e fornecedores de antivírus |
| 152,000+ | Coordenação bem-sucedida de remoções de domínios |
| 834,000+ | Ameaças indexadas em nosso banco de dados da API |
| 500,000+ | Domínios históricos arquivados (mais de 5 anos de dados) |
| 50+ | Empresas de segurança que recebem nossos dados sobre ameaças |
| 30+ | Analisadores proprietários em operação 24 horas por dia, 7 dias por semana |
| 13+ | Fontes da comunidade agregadas em nossas listas de bloqueio |
| <0,01% | Taxa de falsos positivos |
Principais investigações: XMRWallet: A Verdade à Luz (carteira falsa de Monero que roubou milhões ao longo de 10 anos), Painel do TrustWallet foi exposto (vazamento de US$ 8,5 milhões com 1.900 registros de bate-papo divulgados), O Império das Fraudes do Projeto (centenas de domínios coordenados).
Será que tudo é mesmo de graça?
Sim, 100% gratuito. Não vendemos nada, não aceitamos doações e nunca cobramos por nenhum serviço:
- Grátis banco de dados de segurança de domínios — Mais de 175 mil denúncias
- Grátis API de ameaças — não é necessária nenhuma chave de API
- Grátis listas de bloqueio — Licença MIT, código aberto
- Grátis processo de recurso — Resposta em 48 horas
- Grátis Bot do Telegram — relatórios instantâneos sobre domínios
Como posso entrar em contato com a PhishDestroy?
- Denúncias de abuso:abuse@phishdestroy.io
- Geral:contact@phishdestroy.io
- Bot do Telegram:@PhishDestroy_bot (verificação instantânea de domínios)
- Canal do Telegram:@destroy_phish (alertas em tempo real)
- Twitter/X:@phish_destroy
- Mastodon:@PhishDestroy
- GitHub:github.com/PhishDestroy
- Mídia:PhishDestroy.medium.com
- Recursos:phishdestroy.io/recursos
- Dados históricos (mais de 500 mil domínios):contact@phishdestroy.io
Fluxo de trabalho e metodologia de detecção
Nosso fluxo de trabalho de inteligência contra ameaças em quatro fases, em detalhes
Como funciona o Pipeline de detecção em quatro fases?
Nosso Pipeline processa milhares de domínios diariamente, passando por quatro fases:
Fase 1: Descoberta e ingestão preventivas
Utilizamos uma rede distribuída de Mais de 30 analisadores sintáticos proprietários para identificar domínios maliciosos logo no início:
- Registros do Certificate Transparency (CT) — monitoramento em tempo real de novos certificados SSL para detectar domínios de phishing poucos minutos após o registro
- Monitoramento de DNS — monitoramento de novos registros de domínios e configurações suspeitas
- Detecção de malvertising — monitoramento contínuo do Google Ads, dos resultados de busca otimizados para SEO e das campanhas em alta nas redes sociais, como Twitter/X, YouTube e Telegram
- Typosquatting — utilizando o dnstwist e heurísticas personalizadas para detectar domínios semelhantes que têm como alvo marcas consagradas
- Inteligência comunitária — captação em tempo real por meio do nosso bot do Telegram, e-mail e feeds de parceiros
- Agregação de feeds de phishing — integração com mais de 13 fontes da comunidade, incluindo OpenPhish, PhishTank e URLhaus
Fase 2: Análise e pontuação
- 95 motores AV via VirusTotal
- Enriquecimento de dados WHOIS/DNS (registrador, servidores de nomes, geolocalização por IP, país)
- Análise do certificado SSL (emissor, SANs, datas de validade)
- Captura de tela e correspondência de conteúdo visual
- Identificação de kits de phishing
- Cálculo da pontuação de risco (0-100) a partir de mais de 12 sinais ponderados
Fase 3: Relatórios globais de fornecedores
Assim que for confirmado, enviamos para Mais de 50 fornecedores simultaneamente:
Além disso, notificações formais de abuso aos registradores de domínios e provedores de hospedagem, acompanhadas de pacotes de provas.
Fase 4: Transparência Pública
- Commits em tempo real para o Repositório Destroylist
- Painel de monitoramento em tempo real em phishdestroy.io/live
- Alertas automáticos sobre Twitter, Telegram, e Mastodon
- Rede detecção condicional: alertas de acompanhamento caso a ameaça permaneça ativa por mais de 24 horas
O que é a metodologia de pontuação de risco?
Cada domínio recebe um pontuação de risco de 0 a 100 com base em sinais ponderados:
| Sinal | Pontos | Descrição |
|---|---|---|
| Lista de bloqueios selecionada | +40 | Presente em nossa lista principal de itens a serem eliminados |
| DNS ativo | +30 | Atualmente, o domínio é resolvido por meio do DNS |
| Relatado pela comunidade | +20 | Sinalizados pelos feeds da comunidade |
| De várias fontes | +10 | Confirmado por pelo menos duas fontes independentes |
| Palavras-chave suspeitas | +5 each | Metamask, carteira, airdrop, conectar, resgatar, etc. |
| TLD de alto risco | +5 | .xyz, .top, .club, .icu, .buzz, .cfd, etc. |
Níveis de gravidade:
Além disso, nossos relatórios internos sobre domínios (em phishdestroy.io/domain) utilizam um sistema de pontuação aprimorado e independente que incorpora detecções do VirusTotal, tempo de existência do WHOIS, padrões de SSL, análise de conteúdo, grau de falsificação de marca e taxas históricas de abuso de registradores, abrangendo mais de 12 indicadores.
O que diferencia o PhishDestroy de outras listas de bloqueio?
A maioria das listas de bloqueio apenas lista domínios. Oferecemos inteligência contra ameaças de ponta a ponta:
- Detecção preventiva — capturamos os domínios poucos minutos após o registro, antes que cheguem às vítimas
- Investigação aprofundada — rastreamos transações de criptomoedas na cadeia de blocos, mapeamos a infraestrutura, descompilamos kits de phishing e associamos as campanhas aos operadores
- Acesso “de nível raiz” — obtivemos acesso a painéis de drainer, ao código-fonte do kit de phishing e aos registros de bate-papo dos operadores, o que nos proporcionou uma visão sem precedentes sobre as TTPs dos invasores
- Remoção ativa — não nos limitamos a sinalizar domínios; enviamos pacotes de evidências aos registradores, provedores de hospedagem e mais de 50 fornecedores de antivírus e acompanhamos cada domínio até que ele seja desativado
- Verificação de conteúdo — nossos feeds com verificação de conteúdo vão além do DNS: realizamos solicitações HTTP reais para verificar se a página de phishing está ativa, detectando tentativas de cloaking
- Prestação de contas do registrador — acompanhamos publicamente as taxas de abuso e os tempos de resposta dos registradores, promovendo a prestação de contas por parte dos provedores negligentes
O que é verificação de conteúdo? Por que ela é importante?
A verificação de conteúdo significa que não nos limitamos a verificar se um domínio é resolvido (DNS), mas sim que realmente acessamos a página e verificamos se há conteúdo de phishing.
Isso é importante porque os golpistas usam o cloaking: eles exibem páginas falsas ou em branco para scanners automatizados, enquanto mostram a página de phishing real às vítimas humanas. Um domínio que NÃO conste em nossa lista de conteúdos verificados não isso não significa que seja seguro — pode ser apenas que esteja camuflado.
Nossos feeds com conteúdo verificado:
- Conteúdo principal — domínios selecionados com conteúdo de phishing ativo e verificado (atualizados a cada 12 horas)
- Conteúdo da comunidade — feeds agregados com conteúdo verificado (atualizados a cada 24 horas)
Para obter proteção máxima, use nosso Ensino Fundamental – Todas as séries ou Geral da Comunidade feeds, que incluem todos os domínios, independentemente do status da verificação de conteúdo.
Os relatórios de remoção são automatizados?
Não. A detecção é automatizada — os classificadores identificam domínios suspeitos em questão de minutos —, mas nada é comunicado automaticamente a um registrador ou provedor de hospedagem. Cada solicitação de remoção que enviamos é uma conclusão revisada por pessoas e respaldada por evidências, baseada em denúncias das vítimas e em nossa própria investigação.
O que um registrador realmente recebe do PhishDestroy não é um aviso automático genérico. Trata-se de um e-mail específico que indica o motivo concreto, os fatos que o comprovam, capturas de tela e documentação. Em casos recorrentes ou que foram encaminhados para uma instância superior, acrescentamos uma explicação precisa do que ainda está errado, além de evidências adicionais — detecções do VirusTotal, resultados em bancos de dados de inteligência de ameaças e indicadores relacionados.
As únicas mensagens automáticas nesta troca de mensagens são os próprios avisos automáticos de confirmação dos registradores. Do nosso lado, trata-se de uma constatação comprovada e de um pedido formal para que o domínio seja analisado e sejam tomadas medidas — não se trata de spam automático.
Qual é o nível de precisão do PhishDestroy?
Nossa taxa de falsos positivos está abaixo de 0.01%. Cada detecção automatizada passa por várias camadas de verificação antes que um relatório seja gerado. Nós mantemos:
- Lista de permissões — uma lista selecionada manualmente de domínios comprovadamente confiáveis que nunca são sinalizados
- Recursos com prazo de 48 horas — cada falso positivo é analisado e resolvido rapidamente
- Aperfeiçoamento contínuo do classificador — acompanhamos o resultado de cada recurso e atualizamos a lógica de detecção
- Validação cruzada com múltiplas fontes — os domínios devem acionar vários sinais antes de serem confirmados
Quais kits de phishing e drainers vocês monitoram?
Acompanhamos todas as principais famílias de programas que esvaziam carteiras e todos os tipos de kits de phishing:
- Uso indevido do Wallet Connect — mensagens falsas do WalletConnect roubam aprovações
- Drenador do Inferno — um dos maiores ladrões de ativos em várias cadeias
- Angel Drainer — drainer avançado com suporte a NFT
- Escorredor Rosa — combinação de engenharia social + drenagem
- Phishing relacionado a licenças/aprovações — Vulnerabilidades relacionadas à aprovação de tokens ERC-20 (Permit2)
- Roubo da frase-semente — formulários falsos do tipo “verificar carteira” ou “sincronizar carteira”
- Golpes relacionados a AML/KYC — páginas falsas de verificação de conformidade
- Golpes relacionados a airdrops — páginas falsas de resgate de tokens
- Golpes de investimento — plataformas de negociação fraudulentas, esquemas de Ponzi
- Drenador Solana — Kits de drenagem de carteiras específicos para Solana
Navegue pelo nosso banco de dados por tipo de golpe, método de fraude ou marca visada.
API de ameaças e feeds de dados
Acesso gratuito à API, feeds de listas de bloqueio e formatos de download
O que é a API PhishDestroy Threat?
O API PhishDestroy Threat é um API gratuita e aberta fornecendo uma avaliação de risco de domínios em tempo real em Mais de 834 mil ameaças. Não é necessária nenhuma chave de API.
Desfechos:
| Método | Ponto final | Descrição |
|---|---|---|
GET | /v1/check?domain= | Verificação de um único domínio com pontuação de risco e gravidade |
POST | /v1/check/bulk | Verificação em lote até 500 domínios mediante solicitação |
GET | /v1/search?q= | Pesquisar domínios na lista de bloqueados por palavra-chave |
GET | /v1/feed/{list} | Baixar feeds completos (principal, comunitário, ativo) |
GET | /v1/stats | Estatísticas em tempo real e contagem de domínios |
Exemplo:
curl "https://api.destroy.tools/v1/check?domain=suspicious-site.xyz" A resposta inclui: threat (booleano), risk_score (0-100), severity (crítico/alto/médio/baixo), lists (quais feeds contêm o domínio), e last_seen carimbo de data e hora.
Quais feeds de dados estão disponíveis?
Oferecemos 7 fontes de dados distintas por meio do Repositório Destroylist:
| Feed | Descrição | Atualização |
|---|---|---|
| Primário | Domínios de phishing selecionados por nossos analisadores | Em tempo real |
| Ao Vivo do Primário | Domínios primários cuja atividade foi verificada por meio do DNS | A cada 24 horas |
| Conteúdo principal | Conteúdo de phishing primário + verificado via HTTP | A cada 12 horas |
| Comunidade | Dados agregados de mais de 13 fontes externas | A cada 2 horas |
| Comunidade ao Vivo | Domínios da comunidade cuja validade foi verificada por meio do DNS | A cada 24 horas |
| Conteúdo da comunidade | Comunidade + conteúdo verificado como phishing | A cada 24 horas |
| Lista de permissões | Lista de proteção contra falsos positivos | Manual |
Recomendado: Uso list.json ou active_domains.json para produção. Use blocklist.json para obter a máxima cobertura.
Todos os feeds disponíveis em JSON e TXT formato. Listas de domínios raiz (sem subdomínios, excluindo provedores de hospedagem) também estão disponíveis separadamente.
Quais formatos de download são compatíveis?
Todos os feeds estão disponíveis em 7 formatos para integração imediata:
| Formato | Caso de uso |
|---|---|
| TXT | Lista simples de domínios — universal |
| JSON | Dados estruturados — integrações de API, scripts |
| Anfitriões | Pi-hole, /etc/hosts, arquivo hosts do Windows |
| AdBlock | uBlock Origin, AdGuard, AdGuard Home |
| Dnsmasq | Servidor DNS Dnsmasq |
| Sem limites | Firewalls pfSense e OPNsense |
| RPZ | BIND, Knot DNS (Zona de Política de Resposta) |
Todos os formatos estão disponíveis em: github.com/phishdestroy/destroylist/tree/main/rootlist/formats/
Como faço para usar a API no meu código?
Python:
import requests
r = requests.get(f"https://api.destroy.tools/v1/check?domain={domain}")
data = r.json()
if data["threat"]:
print(f"BLOCKED: {data['severity']} (score: {data['risk_score']})") JavaScript:
const r = await fetch(`https://api.destroy.tools/v1/check?domain=${domain}`);
const data = await r.json();
if (data.threat) console.warn("PHISHING:", data.severity, data.risk_score); Verificação em massa (até 500 domínios):
curl -X POST "https://api.destroy.tools/v1/check/bulk" \
-H "Content-Type: application/json" \
-d '{"domains":["site1.com","site2.xyz","site3.top"]}' Verificação simples da lista de bloqueios (Bash):
curl -s https://raw.githubusercontent.com/phishdestroy/destroylist/main/list.txt \
| grep -q "suspicious-domain.com" && echo "BLOCKED" O que são listas raiz e por que devo usá-las?
Listas de raiz contêm apenas domínios de nível raiz — sem subdomínios — e os provedores de hospedagem (Vercel, Pages.dev, Netlify etc.) estão excluídos. Isso os torna ideais para:
- Regras de firewall — bloquear domínios inteiros, e não apenas subdomínios específicos
- Bloqueio de DNS — seguro para resolvedores de DNS, sem risco de bloquear plataformas de hospedagem legítimas
- Análise do registrador — dados limpos para cálculos da taxa de abuso
Três variantes disponíveis:
- Todas as raízes — todos os domínios raiz confirmados
- Somente ao vivo — Raízes ativas verificadas pelo DNS
- Apenas serviços — hospedar subdomínios de plataformas separadamente (Vercel, Pages.dev, Netlify, etc.)
Relatórios de segurança de domínios
Entendendo nosso banco de dados de inteligência de domínios
Que informações constam em um relatório de segurança de domínio?
Cada relatório de domínio é um dossiê de inteligência abrangente que contém:
- Pontuação de risco — Índice de ameaça composto de 0 a 100 com classificação de gravidade
- Resultados do VirusTotal — detecções de 95 mecanismos antivírus, com detalhamento por fornecedor
- Captura de tela — imagem capturada no momento da varredura (mais de 75 mil capturas de tela armazenadas localmente)
- Dados WHOIS — registrador, data de criação, informações do registrante, servidores de nomes
- Registros DNS — A, MX, NS, TXT com geolocalização por IP e bandeiras de países
- Certificado SSL — emissor, validade, Nomes Alternativos do Assunto (SANs)
- Status da lista de bloqueados — presença em mais de 11 listas de bloqueio de segurança importantes
- Tipo de golpe — roubo de carteiras, roubo de frases-semente, golpes de airdrop, golpes de investimento, etc.
- Focado na marca — qual marca legítima está sendo falsificada (mais de 350 marcas monitoradas)
- Domínios relacionados — outros domínios que compartilham infraestrutura, favicon ou kit de phishing
- Cloudflare Radar — status da categorização de domínios
- Análise de URLQuery — análise de segurança adicional
Por que meu domínio legítimo aparece no seu banco de dados?
Possíveis motivos:
- Seu domínio era já comprometido e usado para phishing sem o seu conhecimento
- Seu domínio compartilha infraestrutura (IP, servidores de nomes) com domínios conhecidos por praticarem phishing
- Um classificador automatizado identificou um falso positivo — isso ocorre em <0,01% dos casos
- Alguém denunciou seu domínio por meio dos canais da comunidade
Importante: O PhishDestroy não bloqueia domínios diretamente. Nós enviamos relatórios aos fornecedores de antivírus e aos registradores, que tomam suas próprias decisões quanto ao bloqueio. Se o seu domínio foi sinalizado incorretamente, apresentar um recurso — respondemos em até 48 horas e adicionamos os domínios aprovados à nossa lista de permissões permanente.
Com que frequência os dados são atualizados?
| Tipo de dados | Frequência |
|---|---|
| Detecção de novos domínios | Em tempo real (logs de CT, analisadores) |
| Análises do VirusTotal | A cada 12 a 24 horas |
| Status: ativo/inativo | Várias vezes por dia |
| Enriquecimento de DNS/WHOIS | Ao detectar + ao ocorrer alteração |
| Capturas de tela | Na primeira detecção + atualização periódica |
| Sincronização da lista de bloqueados | A cada 4 a 6 horas (armazenamento em cache do ETag) |
| Sincronização de feed da API | Por hora |
| Geração de cartas OG | Sob demanda + a cada 2 horas |
| Lista de bloqueios da comunidade | A cada 2 horas (mais de 13 fontes) |
Recursos e exclusão da lista
Como resolver falsos positivos e disputas de domínio
Como posso contestar um falso positivo?
Duas formas de recorrer:
- Formulário de Recurso (mais rápido) — envie seu domínio com comprovante de legitimidade
- Tópico no GitHub — abrir um ticket com provas
Processo:
- Analisamos dentro de 48 horas (a maioria no mesmo dia)
- Se for aprovado, o domínio é adicionado à nossa lista permanente lista de permissões
- A lista de permissões é pública: allowlist.json
- As alterações são propagadas imediatamente para nossa API e nosso banco de dados
Todo o processo é totalmente gratuito. Nunca cobramos pelas solicitações de revisão ou pelas exclusões da lista — nunca cobramos e nunca cobraremos.
Qual é o nível de confiabilidade e transparência do seu processo de tratamento de falsos positivos?
Reestruturamos todo o Pipeline de tratamento de reclamações e falsos positivos. Agora ele é muito mais rápido, mais confiável e amplamente automatizado: um domínio confiável (classificada na lista global da Tranco) com detecções de corrente zero é retirado da lista automaticamente, em poucos minutos de recurso — sem espera por um atendente humano. Todo o restante é analisado pela equipe dentro do nosso SLA de 48 horas.
Nossa taxa real de falsos positivos é abaixo de 0,01%. Quando cometemos um erro, corrigimos rapidamente e de forma transparente — não temos medo de admitir nossos erros.
Defendemos a transparência e a verificabilidade. Cada adição e cada remoção são públicas e auditáveis em nosso repositório aberto, github.com/PhishDestroy/destroylist — o histórico completo do que incluímos e retiramos da lista está disponível para qualquer pessoa. Mediante solicitação, também podemos divulgar nossos prazos de processamento, a lista de recursos rejeitados com os motivos e as evidências que fundamentam qualquer inclusão na lista.
A exclusão da lista é sempre gratuita. Qualquer pessoa que cobre uma taxa para remover seu nome do PhishDestroy está envolvida em um golpe.
Quanto custa o cancelamento da cotação?
Nada. Zero. De graça. Sempre.
Qualquer terceiro que afirme poder remover seu domínio do PhishDestroy em troca de dinheiro está operando um golpe. Não temos nenhum programa pago de remoção de listagem e nunca teremos. Denuncie esses serviços para nós.
Meu domínio foi liberado, mas ainda está bloqueado em outro lugar
O PhishDestroy é uma das muitas fontes. Mesmo depois de limparmos seu domínio, outros sistemas ainda podem sinalizá-lo:
- Google Safe Browsing — enviar para safebrowsing.google.com
- Fornecedores de antivírus — cada um mantém listas de bloqueio independentes; entre em contato com o canal de denúncias de FP de cada fornecedor
- Avisos do navegador — pode manter dados antigos em cache por 24 a 48 horas
Verifique seu domínio em VirusTotal para verificar quais fornecedores específicos estão sinalizando o problema e, em seguida, entrar em contato com cada um deles individualmente.
Como funciona o processo de conformidade da ICANN?
Ao enviarmos denúncias de abuso, seguimos as normas da ICANN:
- Notificações formais de abuso aos registradores, por meio dos contatos para denúncias de abuso do WHOIS
- Pacotes completos de provas — resultados de varredura, capturas de tela, relatórios em PDF com metadados
- A ICANN exige que que os registradores analisem as denúncias de abuso em até 24 horas
- Rede detecção condicional — se um domínio permanecer ativo após 24 horas, encaminhamos o caso com alertas de acompanhamento
Quando um domínio recebe entre 10 e 30 ou mais denúncias de abuso e o registrador continua ignorando-as por meses, divulgamos isso publicamente. O registrador não está mais apenas sendo passivo — ele, na prática, fornece infraestrutura para atividades ilegais. Nosso banco de dados público promove a prestação de contas.
Recursos para vítimas
Medidas de emergência e orientações de proteção
Fui vítima de um golpe. O que devo fazer AGORA MESMO?
O tempo é fundamental. Aja imediatamente:
- REVOQUE as aprovações de tokens AGORA — acesse revoke.cash revogar imediatamente quaisquer aprovações pendentes de carteiras. Isso interrompe a perda contínua de recursos.
- Entre em contato com a SEAL 911 — resposta a incidentes de emergência envolvendo criptomoedas por profissionais de segurança. Acesse phishdestroy.io/ação-crítica
- Transferir os fundos restantes — transferir todos os ativos da carteira comprometida para uma carteira nova e segura
- Denunciar à polícia — registre uma ocorrência de crime cibernético na polícia local. Obtenha o número do processo.
- Denunciar publicamente — arquivo sobre Chainabuse para alertar outras pessoas e deixar um registro por escrito
- Guarde TODAS as provas — endereços de carteiras, IDs de transações, capturas de tela, registros de bate-papo, e-mails, o URL de phishing
NÃO entre em contato com “serviços de recuperação” encontrados na internet. Mais de 95% deles são golpes secundários que têm como alvo as vítimas.
É possível recuperar criptomoedas roubadas?
Às vezes, mas só se você agir rápido:
- Aprovações de tokens ainda não executadas: Se você tiver assinado apenas uma aprovação maliciosa, revogue-a em revoke.cash impede imediatamente novas perdas
- Saques na CEX: Se o criminoso enviar fundos para a Binance, a Coinbase etc., as autoridades policiais podem congelar as contas — mas precisam do seu boletim de ocorrência
- Pausas na ponte: Algumas pontes entre cadeias suspenderam as transações assim que foram notificadas sobre fraudes
Uma dose de realidade: A maioria dos roubos de criptomoedas na cadeia de blocos é irreversível. A prevenção é a melhor defesa — use carteiras de hardware, verifique os URLs e nunca compartilhe frases-semente.
Como posso identificar um site de phishing?
Sinais de alerta:
- Incompatibilidade de URL — “metamask-login.com” em vez de “metamask.io”
- Expressões que denotam urgência — “Aja agora ou perca o acesso”, “Sua carteira será bloqueada”
- Solicitações de frase-semente — NENHUM serviço legítimo JAMAIS pedirá sua frase-semente
- Janelas pop-up inesperadas da carteira — Solicitações do WalletConnect ou do MetaMask que você não iniciou
- Bom demais para ser verdade — airdrops gratuitos, retornos garantidos, “resgate sua recompensa”
- Anúncios nas redes sociais — O phishing recorre intensamente a anúncios pagos no Twitter, no Google e no Telegram
- Golpes por mensagem direta/resposta — o “atendimento ao cliente” entra em contato com você primeiro
Proteção: Sempre verifique os domínios em phishdestroy.io/domain ou use nosso Bot do Telegram antes de conectar sua carteira. Leia nosso guia completo: Noções básicas de segurança em criptomoedas
Os “serviços de recuperação de criptomoedas” são legítimos?
Quase nunca. Mais de 95% dos “serviços de recuperação” são golpes secundários visando pessoas que já perderam dinheiro.
Sinais de alerta:
- Eles garantem a recuperação (algo impossível de garantir)
- Eles exigem pagamento antecipado
- Eles te encontraram por meio de comentários nas redes sociais sobre ter sido vítima de um golpe
- Eles afirmam ser “hackers éticos” capazes de “reverter transações”
- Eles pedem sua frase-semente ou acesso à sua carteira
Ajuda confiável (toda gratuita): SEAL 911, as autoridades locais, a equipe de suporte da sua corretora, Chainabuse para divulgação pública.
Integração e configuração
Como integrar o PhishDestroy à sua infraestrutura de segurança
Como faço para adicionar o Destroylist ao Pi-hole?
Acesse o Pi-hole Admin → Configurações → Listas de bloqueio → cole este URL:
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/hosts.txt Salve e atualize o gravity. A lista é atualizada automaticamente de acordo com a programação do Pi-hole.
Como faço para adicionar o Destroylist ao uBlock Origin ou ao AdGuard?
uBlock Origin: Configurações → Listas de filtros → Importar → colar:
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/adblock.txt AdGuard Home: Filtros → Listas de bloqueio de DNS → Adicionar lista de bloqueio → cole a mesma URL.
Como faço para adicionar o Destroylist ao pfSense / OPNsense?
Para o resolvedor DNS do Unbound (pfSense/OPNsense):
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/unbound.conf Para o BIND ou o Knot DNS (formato RPZ):
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/rpz.zone Para o Dnsmasq:
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/dnsmasq.conf Posso contribuir com o PhishDestroy?
Sim! Veja como:
- Denunciar domínios de phishing — Bot do Telegram ou abuse@phishdestroy.io
- Integre nossas listas de bloqueio — adicionar Lista de destruição ao seu DNS, firewall ou ferramentas de segurança
- Use nossa API — criar ferramentas, bots ou painéis de controle usando o API de ameaças
- Enviar PRs — melhorias no algoritmo de detecção, dicas de integração, informações atualizadas
- Divulgar a causa — compartilhe nossa pesquisa nas redes sociais
Não aceitamos doações — a melhor maneira de nos apoiar é tornando nossos dados úteis.
Para que posso usar os dados do PhishDestroy?
Nossos dados (licença MIT) são utilizados para:
- Segurança de rede — regras de firewall, bloqueio de DNS, filtragem de e-mail
- Automação — Integração entre SIEM e SOC, resposta automatizada a incidentes
- Pesquisa sobre ameaças — análise de campanhas de phishing, tendências de falsificação de identidade de marcas
- Treinamento em ML/IA — conjuntos de dados para treinamento de modelos de detecção de phishing
- Análise de tendências — taxas de abuso de registradores, padrões de risco de TLDs, evolução dos drainer
- Provas legais — relatórios de domínios com registro de data e hora para autoridades policiais e sinistros de seguros
Cofre histórico: Mais de 500.000 domínios arquivados ao longo de mais de 5 anos. Entre em contato contact@phishdestroy.io para acesso.
