Como identificar link falso

Leitura: 6–8 min • Atualizado: 16/02/2026

Objetivo deste guia: em 20 segundos você vai conseguir olhar um link e decidir com segurança se é confiável ou se é golpe.

Sumário rápido

Domínio real Sinais clássicos Verificar sem clicar Se já clicou FAQ

Link falso é uma URL criada para te enganar. Ele pode abrir uma página clonada (igualzinha à original) ou um site malicioso que tenta roubar seus dados.

Golpista não te vence no “texto”. Ele te vence no endereço.

Diagrama mostrando as partes de uma URL: protocolo, domínio e caminho — Exemplo: protocolo, domínio e caminho de uma URL.

Antes de tudo: encontre o domínio real

O domínio é o “nome do site” (a parte que manda). Ele vem logo antes da primeira barra /.

Em https://www.exemplo.com/login o domínio é exemplo.com.
Em https://seguranca.exemplo.com/login o domínio continua sendo exemplo.com.

Regra de ouro: se o domínio não for o oficial, é golpe — mesmo que o resto pareça perfeito.

Ilustração 1: como “quebrar” um link em 3 partes

Protocolo: https://
Domínio: exemplo.com
Caminho: /login

✅ Regra 1: olhe o domínio primeiro
Ignore o “texto bonito” do golpe. A verdade está no domínio (a parte final antes da primeira /).

✅ Regra 2: se houver dúvida, não clique
Quando o link parece “esquisito”, o método seguro é: abrir o app oficial ou digitar o site oficial.

1) Domínio parecido (letras trocadas) é clássico

Golpes usam pequenas trocas que passam batido no olho, principalmente no celular:

Letra trocada: micros0ft.com (zero no lugar de “o”)
Letra a mais: instagraam.com
Variação do nome: banco-seguro.com (não é o domínio oficial)

Se você tiver que “pensar demais” pra acreditar no link, não clique.

Sinais muito comuns em links falsos:
• “Conta bloqueada”, “urgente”, “última chance”, “multa”, “taxa”, “confirme agora”
• Pedido de senha, código SMS, token, chave ou “verificação” fora do app oficial
• Mensagem “boa demais”: prêmio, reembolso, bônus, desconto absurdo

2) Cuidado com subdomínio enganador

Golpistas colocam o nome do site verdadeiro antes do domínio falso pra confundir:

Exemplo: banco.com.seguranca-login.site

Aqui, o domínio real é seguranca-login.site (o que vem no final).

Ilustração 2: o “final” do link é o que manda

parece: banco.com
real: seguranca-login.site

Dica importante: no celular, às vezes o link aparece “cortado”. Sempre que puder, copie o link e cole em um bloco de notas para enxergar o domínio completo.

3) HTTPS ajuda, mas não garante

O cadeado (HTTPS) significa que a conexão é criptografada, mas site falso também pode ter cadeado. Então use o HTTPS como “bônus”, não como prova.

Cadeado ≠ site verdadeiro. Domínio oficial ≠ golpe.

Cuidado: cadeado não prova legitimidade.

4) Encurtadores: melhor evitar

Links como bit.ly, tinyurl e similares escondem o destino real. Se chegou por WhatsApp, e-mail ou SMS, desconfie.

Preferível: digitar o site oficial no navegador.
Se for de banco/conta: abra o app oficial (não clique).

Ilustração 3: “método seguro” em 10 segundos

Recebeu um link? Não clique.
Abra o navegador e digite o site oficial ou abra o app oficial.
Se for promoção/suporte: confirme pelos canais oficiais.

Agora, veja um exemplo prático com vídeo e compare com o checklist abaixo.

Vídeo: maneiras de identificar links falsos

Se o vídeo não iniciar sozinho em alguns celulares, é normal: alguns navegadores bloqueiam autoplay. Se o vídeo não iniciar altomaticamente, basta da um play manual.

Como verificar um link sem clicar (celular e PC)

Regra de segurança: “pré-visualizar” é melhor do que abrir. Se você não consegue ver o destino real, trate como suspeito.

No WhatsApp: pressione e segure a mensagem do link → toque em Copiar → cole em uma nota/bloco de notas e procure o domínio (a parte final antes da primeira “/”).
No Instagram/Redes sociais: desconfie de “arrasta pra cima”/link na bio quando a conta é recente ou está com comportamento estranho. Prefira digitar o site oficial no navegador.
No PC: passe o mouse sobre o link (sem clicar) e observe o endereço no canto do navegador. Se o domínio não for o oficial, é golpe.

Quando o link vem de “suporte”: banco, operadora e serviços grandes raramente pedem senha/código via chat. Se pediram, encerre e procure o canal oficial.

Ferramentas do Segurança Tech que ajudam aqui:
• Identificador de links falsos
• Meu IP (detalhes) • Rastreio de IP
• Meu ASN

Checklist de 20 segundos (use antes de clicar)

Chegou do nada? (alerta)
Tem urgência/ameaça? (alerta)
Promete prêmio/promoção boa demais? (alerta)
O domínio é o oficial (exato)?
Estão pedindo senha, código, token ou “confirmação”? (🚫 golpe)

Checklist extra (30–40s, quando você quer ter certeza):
• O link usa encurtador? (bit.ly/tinyurl) → suspeito
• O domínio tem números/letras estranhas? (ex.: “0” no lugar de “o”) → suspeito
• O site pede dados sensíveis fora do app oficial? → golpe
• A mensagem tenta te deixar com medo/pressa? → tática de engenharia social

O que fazer se você já clicou

Não digite senha/código.
Feche a página e limpe o histórico (opcional, mas recomendado).
Se colocou senha: troque imediatamente e ative 2FA.
Se foi banco: entre no app oficial e verifique acessos/transações.

Se você digitou senha/código no site falso:
1) Troque a senha agora (de preferência em outro dispositivo).
2) Ative a verificação em duas etapas (2FA).
3) Revogue sessões/dispositivos conectados (quando o serviço permite).
4) Se for banco: contate o suporte oficial e registre ocorrência, se necessário.

Perguntas frequentes (FAQ)

HTTPS (cadeado) significa que o site é confiável?

Não. HTTPS só indica que a conexão é criptografada. Golpistas também conseguem colocar HTTPS. O que manda é o domínio oficial e o comportamento do site (pedido de dados sensíveis, urgência, etc.).

Como eu descubro o domínio real quando o link é muito grande?

Copie o link e cole em um bloco de notas para enxergar inteiro. O domínio é a parte principal antes da primeira “/” e geralmente fica no “final” do endereço quando há subdomínios enganadores.

Encurtadores (bit.ly) são sempre golpe?

Não são sempre, mas são um risco porque escondem o destino real. Se o link veio de mensagem inesperada, promoção boa demais ou “suporte”, trate como suspeito e prefira digitar o site oficial.

O que é subdomínio e por que ele engana?

Subdomínio é a parte antes do domínio principal (ex.: seguranca.exemplo.com). Golpistas colocam palavras “confiáveis” antes do domínio falso para confundir. Por isso, o que manda é o domínio no final.

Se eu já cliquei, meu celular/PC está infectado?

Nem sempre. Muitas vezes o golpe tenta apenas te fazer digitar dados. Mas se o site pediu download, extensão ou aplicativo, o risco aumenta. Feche, não instale nada e siga o passo a passo de troca de senha/2FA.

Voltar aos Artigos Próximo: IP perigoso