Inundação de sementes: Por que o PhishDestroy age abertamente
Sites de “ataques” de phishing
Não escondemos isso. Quando o PhishDestroy detecta um site de phishing ativo que está coletando frases-semente de carteiras de criptomoedas, nós o inundamos com entradas de frases-semente em formato válido. Aqui está exatamente o que fazemos, por que fazemos isso e por que não temos vergonha disso.

O problema: um site de phishing está no ar neste momento
Imagine que você identifique uma página de phishing de carteira de criptomoedas exibindo anúncios pagos do Google Ads. Ela parece legítima. Recebe tráfego. Usuários reais acessam a página a cada poucos minutos, inserem suas frases-semente e perdem tudo.
Você denuncia o caso ao Google. Você denuncia o caso ao registrador. Você envia uma denúncia de abuso ao provedor de hospedagem. E então você espera.
Enquanto isso, o golpista faz mais uma vítima: a número 47. Depois, a 48. E, em seguida, a 49.
O fluxo padrão de denúncias de abuso opera em prazos de 5 a 10 dias úteis. Sites ativos de phishing causam prejuízos financeiros irreversíveis em questão de horas. Essa lacuna não é um bug no sistema — é uma vulnerabilidade estrutural que os golpistas exploram deliberadamente.

O que é a inundação de sementes?
A inundação de sementes é uma técnica de combate ao phishing em que formato válido, mas vazio/sem valor As frases-semente das carteiras de criptomoedas são enviadas automaticamente para um formulário de phishing a uma taxa controlada.

Por que isso funciona: a anatomia de um kit de phishing barato
A grande maioria dos sites ativos de phishing relacionados a criptomoedas são kits do tipo “copiar e colar” criados com base em serviços de terceiros na versão gratuita. Essa é a maior vulnerabilidade deles. Para uma análise mais detalhada, consulte nossa investigação completa.

| Módulo | Limite do plano gratuito | Efeito das enchentes |
|---|---|---|
| EmailJS | ~200 inscrições por mês | Quando a cota de horas se esgota, a entrega de e-mails é interrompida |
| Formspree | 50 envios por mês | Ficou inoperante quase imediatamente |
| Web3Forms | 250 envios por mês | Neutralizado rapidamente |
| API do bot do Telegram | Limitado a uma taxa por segundo | Inundado em loops de tempo limite |
| Nível gratuito do Firebase | Cotas de leitura/gravação | Aumento repentino nos custos do banco de dados ou bloqueio do acesso |
Observamos diretamente que a infraestrutura de phishing deixou de funcionar depois que a inundação de seeds esgotou seu canal de notificação. O golpista não sabe por que ela parou de funcionar. Ele simplesmente deixa de receber dados.
Nossa abordagem técnica: Cloudflare Workers, e não botnets

Nós usamos Cloudflare Workers. As solicitações são originadas da própria rede de borda da Cloudflare. Não há uso indevido de IPs residenciais. Não há botnets. Não há sobrecarga em servidores de terceiros. Apenas o sistema de coleta de dados do golpista é afetado.
O Fluxo de Inundação
Limitação de taxa: Uma rigorosa 2 submissions per 10 seconds. Não se trata de um ataque DDoS. Trata-se de uma contaminação lenta, deliberada e direcionada, em uma escala que torna significativas até mesmo taxas modestas por site, distribuídas por dezenas de alvos simultâneos.
Não estamos tentando derrubar servidores. Estamos tornando o dia de trabalho dos golpistas insuportável e seu banco de dados inútil — sem causar nenhum impacto colateral na infraestrutura legítima.
Estudos de caso reais: Contaminação controlada na prática
As operações a seguir foram extraídas literalmente de nossos registros de produção. Os domínios e identificadores de provedores foram ocultados apenas nos casos em que a publicação poderia facilitar a evasão; as capturas de tráfego HTTP não sofreram alterações. Ambos os alvos estavam ativos no momento da intervenção, apresentavam tráfego de entrada confirmado proveniente de publicidade paga e haviam sido classificados de forma independente como phishing por ≥ 2 fornecedores externos no VirusTotal antes de qualquer ação da nossa parte.
Doutrina Operacional
Toda operação de inundação de sementes é executada dentro dos mesmos cinco princípios. Não há exceções; uma operação que não possa atender a todos os cinco não é realizada.
Caso 1 — Formspark Exfil Endpoint, cota mensal esgotada
checkblochn.pages.dev NeutralizadoPadrão de ameaça: Isca para recuperação de carteira (“Dapp Node Sync”) que extrai frases-semente BIP-39 de 12 palavras para um endpoint do Formspark controlado pelo invasor na versão gratuita. Foi confirmado tráfego proveniente de anúncios pagos de duas plataformas de publicidade no início da interação.
messageCronograma operacional (UTC, anonimizado até o momento T-zero da operação)
submit-form.com/32BrdUqfX extraído da página JS; a estrutura da carga útil foi reconstruída por engenharia reversa. análise2 req / 10 s, um único Cloudflare Worker, string de UA identificada, origem assinada.200 OK com formspark-quota: 64. Linha de base registrada.formspark-quota ultrapassa zero → o endpoint interrompe o encaminhamento sem aviso prévio. tela de drenagemformspark-quota: −18. Funcionário da equipe de combate às enchentes foi demitido.Envio pela rede (a semente é um engodo expressivo — 12 palavras aleatórias do BIP-39 sem relação com nenhuma carteira real)
Resposta — T+01:02 (linha de base, cota restante)
Resposta — T+06:12 (cota esgotada; o endpoint continua exibindo o código 200, mas não encaminhará a solicitação)
Impacto perceptível. De T+06:08 até a retirada definitiva em T+19:30 — um Janela de 13 horas e 22 minutos — cada vítima real que conseguiu checkblochn.pages.dev e, após concluir o fluxo de recuperação, enviaram sua frase-semente para um endpoint que retornou 200 OK mas não encaminhava mais a carga útil para a caixa de entrada do operador. A página de phishing apareceu para ser bem-sucedida no navegador da vítima (sem erros, sem sinais de alerta), o que é desejável: uma reação reflexiva do tipo “não funcionou” muitas vezes leva os usuários a digitarem novamente as mesmas credenciais no próximo site falso que encontrarem. Aqui, a interação terminou com o operador às cegas.
Uma janela de proteção de 13 horas para cada visitante subsequente de um site que ainda recebia divulgação ativa por meio de publicidade paga. A janela se fechou quando o Cloudflare Pages respondeu à nossa denúncia de abuso em canal paralelo — exatamente como previsto. A enxurrada de tráfego não substituiu a remoção legítima; ela apenas cobriu o intervalo até a queda legal foi concretizada.
Caso 2 — EmailJS Relay, identificadores publicados pelo operador
allsyncapp.pages.dev Operação ativaPadrão de ameaça: isca de “sincronização” de carteira que envia por e-mail a frase-semente digitada pela vítima para a caixa de entrada do operador por meio de EmailJS — um serviço SaaS legítimo de e-mails transacionais. A página de phishing inclui o service_id, template_id e user_id em JavaScript do lado do cliente, pois, sem esses identificadores, o navegador da vítima não consegue concluir a solicitação POST que aciona o envio do e-mail. Esses identificadores fazem, portanto, parte da superfície de ataque pública que o operador expôs voluntariamente.
Envio capturado — formato da carga útil, tal como consta no próprio POST da página de phishing
Extração de identificadores (expressão regular de uma linha no código-fonte da página de phishing)
Ponto doutrinário fundamental. Esse caso é instrutivo justamente porque não identificamos nenhum ponto final. O operador publica os três identificadores necessários para que o EmailJS envie a semente para a caixa de entrada da vítima. Qualquer navegador que exiba a página de phishing os possui. Nosso Worker faz o mesmo que o navegador da vítima — envia um formulário com o formato e os identificadores exatos que a própria página determina. A diferença está na carga útil: palavras aleatórias do BIP-39 em vez de credenciais reais da carteira.
Padrão de resultados. Assim que o limite mensal for atingido, o EmailJS retorna 402 Payment Required ou 429 Too Many Requests e o modelo não é enviado. A caixa de entrada do golpista fica em silêncio. Paralelamente, a equipe de Confiança e Segurança do EmailJS recebe uma reclamação formal com os identificadores do serviço, do modelo e do usuário, além de um link para nosso pacote de evidências publicado — o que, com base em precedentes anteriores, resulta no bloqueio da conta do operador no EmailJS rescindido, sem limitação de taxa. O operador precisa criar uma nova conta no EmailJS, regenerar os identificadores, editar a página de phishing implantada e invalidar todos os links de distribuição existentes — um fluxo de trabalho que leva várias horas para cada rotação.
Comparação de perfis de ataque: o que o “seed flooding” não é
Uma acusação recorrente é a de que realizamos “ataques” a sites de phishing. Essa interpretação desmorona no momento em que se compara o perfil real do tráfego com o perfil das atividades com as quais ele está sendo confundido.
| Dimensão | Inundação de sementes (a nossa) | DDoS / Inundação de L7 | Abuso no envio de spam | Operação secreta da LE |
|---|---|---|---|---|
| Objetivo | Proteção às vítimas — atingir a cota de exfiltração do golpista antes da próxima vítima | Ataque de negação de serviço à infraestrutura | Ganho comercial / divulgação da mensagem | Coleta de provas, engano controlado |
| Rendimento | 0,1 – 0,3 req/s — abaixo Termos de Serviço do provedor | 103 – 108 req/s — orientado para a saturação | Picos de demanda / processamento automatizado de alto volume | Uma única interação, normalmente |
| Meta | Um único invasor que utilizou um endpoint de exfiltração publicou | Camada de servidor web/rede de uma organização vítima | Formulários de contato de sites legítimos | Infraestrutura ou perfil suspeito |
| Impacto na infraestrutura | Nenhum — os contadores do provedor funcionam de acordo com o comportamento previsto nos Termos de Serviço | Interrupção do serviço, congestionamento na rede de origem | Excesso de mensagens na caixa de entrada, variação nos CAPTCHAs, carga de moderação | Depende da operação |
| Usuários legítimos afetados | Zero — os formulários de phishing não têm usuários legítimos | Todos eles | Funcionários responsáveis pelo formulário / moderadores | Prevenção incorporada ao projeto |
| Identidade de origem | Chamado de PhishDestroy Cloudflare Workers — auditável | Botnets, fontes falsificadas, reflexão | Proxies descartáveis | Infraestrutura confidencial |
| Modelo de autorização | O endpoint é convidado: o formulário solicita explicitamente essa informação; os identificadores são divulgados publicamente na página | Nenhum — o próprio volume de solicitações é o problema | Contorna o uso pretendido e ignora sinais de prevenção de abuso | Base legal |
| Ação judicial paralela | Denúncias de abuso registradas antes início do flood, com IDs dos casos | N/A | N/A | Integrado à operação |
Uma submissão de “seed-flood” consiste em uma única solicitação POST via HTTPS de aproximadamente 140 bytes, originada de um Cloudflare Worker que contém nossa origem assinada, a uma fração da taxa que o próprio provedor publica como aceitável, direcionada a um endpoint cujos identificadores o operador optou por incorporar em uma página da web pública. Isso é o artefato observável na íntegra. Todos os elementos estruturais que tornam uma solicitação um “ataque” — acesso não autorizado, intenção de esgotamento de recursos, saturação volumétrica, terceiros afetados, origem oculta — estão ausentes. A análise jurídica a seguir não é uma argumentação criativa; é a natural interpretação da lei, uma vez que o perfil factual tenha sido claramente estabelecido.
Análise jurídica — É legal? É ético?

O envio de dados a um formulário da web acessível ao público — mesmo que sejam dados falsos — não é, por si só, ilegal na maioria dos contextos. Não estamos acessando sistemas privados, explorando vulnerabilidades não autorizadas nem interceptando comunicações. O golpista armou uma armadilha. Estamos enchendo-a de pedras.
O PhishDestroy não oferece aconselhamento jurídico. Trata-se de uma verdadeira área cinzenta, cuja interpretação varia de acordo com a jurisdição. Atuamos com plena consciência dessa complexidade.
O que acontece com o banco de dados do golpista?
Isso se torna inútil — milhares de registros exigem verificação manual, e a relação sinal-ruído desaba. Ou isso quebra — O Firebase Spark e as instâncias compartilhadas do MongoDB têm limites rígidos. Atingir esses limites traz consequências.
Ambos os resultados são bons
Se o banco de dados se tornar inútil ou quebra completamente — as frases-semente das vítimas reais nunca chegam ao invasor de forma que possa ser aproveitada. Cada frase-semente não processada representa uma carteira que não é esvaziada.
Quando devemos ativar a inundação de sementes?
| Critério | Verificar | Por que isso é importante |
|---|---|---|
| Tráfego ativo confirmado | Obrigatório | As plataformas de publicidade ou ferramentas de tráfego confirmam que usuários reais estão acessando o site |
| Análise da anatomia do phishing | Obrigatório | Módulos de exfileração do plano gratuito identificados antes de iniciarmos o envio em massa |
| Denúncias de abuso registradas | Obrigatório | Sempre seguimos a via legítima simultaneamente |
| Não houve remoção dentro do prazo do SLA | Gatilho típico | Não houve resposta do registrador/provedor de hospedagem dentro de um prazo aceitável |
| Site de anúncios de alto volume / pagos | Gatilho imediato | A publicidade paga significa que agimos sem esperar pelo processo burocrático |
O panorama geral
O ecossistema de criptomoedas perde bilhões de dólares por ano ao phishing. Historicamente, a defesa tem sido reativa. O PhishDestroy existe para introduzir interferência proativa nesse ciclo.
Não atuamos às escondidas. Divulgamos nossa metodologia. Explicamos nossas técnicas. Documentamos os kits de phishing que analisamos. A comunidade de segurança merece avaliar os métodos de combate ao phishing, e não apenas utilizar um serviço do tipo “caixa preta”.

O que você pode fazer
- Enviar para Navegação Segura do Google, PhishTank, e o registrador de domínios
- Envie para nós — priorizamos ameaças ativas com alto volume de tráfego
- Verificar nosso banco de dados de anatomia para entender o que você está vendo
- Compartilhar informações — a maioria das vítimas não sabe como é uma página de phishing que visa roubar a frase-semente até que seja tarde demais
Se você acha que encher os bolsos dos criminosos é antiético — essa é a sua opinião, e você tem todo o direito de defendê-la. Já deixamos a nossa posição bem clara.


