Segurança Digital · Fraude financeira

Golpes em carteiras digitais (Mercado Pago, PicPay, PagBank, Nubank): como identificar e o que fazer

Resposta rápida

Golpes em carteiras digitais combinam engenharia social e urgência para fazer você liberar dinheiro ou credenciais. Os formatos mais comuns são o falso comprovante, o link de cobrança forjado, a falsa central de atendimento e o acesso indevido à conta. A defesa imediata: nunca confirmar uma venda só pelo comprovante recebido, conferir o saldo dentro do app oficial e desconfiar de quem peça código, senha ou transferência.

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.

Sinais de alerta

  • Comprovante de pagamento chega por WhatsApp, e-mail ou imagem, mas o valor não aparece no extrato do app oficial.
  • Pressão por urgência: o comprador pede para liberar o produto imediatamente porque o PIX 'já caiu' ou 'está em análise'.
  • Link de cobrança recebido com domínio estranho, encurtado ou que não corresponde ao site oficial da carteira.
  • Ligação ou mensagem de uma 'central de segurança' alegando movimentação suspeita e pedindo que você transfira o saldo para uma 'conta segura'.
  • Pedido de código de verificação, senha de seis dígitos, token ou foto de documento por telefone, chat ou e-mail.
  • Notificações de login, troca de dispositivo ou alteração de dados de contato que você não reconhece.

Passo a passo — o que fazer

  1. 1

    1. Pare qualquer transferência ou liberação em andamento

    Se você ainda não enviou o produto, liberou o saldo ou transferiu valores, interrompa agora. A maioria dos golpes só se consuma na ação final da vítima. Encerre a ligação ou a conversa antes de continuar.

  2. 2

    2. Acione o MED se foi um PIX

    O Mecanismo Especial de Devolução (MED) do Banco Central permite contestar PIX feitos sob fraude. Abra o app oficial da carteira ou banco, procure a transação e use a opção de reportar golpe ou solicitar devolução. O prazo para registrar é de até 80 dias, mas faça o quanto antes.

  3. 3

    3. Troque senhas e revogue acessos

    Se houver suspeita de conta invadida, altere a senha do app e do e-mail vinculado, encerre as sessões ativas e revogue dispositivos conectados. Ative a verificação em duas etapas se ainda não estiver ativa.

  4. 4

    4. Contate a carteira pelo canal oficial

    Use apenas os números e canais listados dentro do próprio aplicativo ou no site oficial. Relate o ocorrido, bloqueie cartões virtuais e peça o congelamento da conta se necessário. Não use telefones recebidos por mensagem.

  5. 5

    5. Registre boletim de ocorrência

    Faça o BO, presencial ou pela delegacia eletrônica do seu estado. Descreva valores, datas, contas de destino e prints das conversas. O BO costuma ser exigido pela instituição e ampara contestações e o MED.

  6. 6

    6. Conteste a transação na instituição

    Formalize a contestação por escrito com a carteira ou o banco emissor do cartão. Guarde o número de protocolo. Se a resposta for negativa ou demorar mais que dez dias úteis, registre reclamação no Banco Central e no Procon.

  7. 7

    7. Reúna e preserve as provas

    Salve prints das conversas, do comprovante recebido, dos links e dos dados da conta de destino, além de extratos com data e hora. Esse material sustenta o MED, a contestação e a investigação policial.

O que NÃO fazer

  • Não confirme uma venda apenas pelo comprovante enviado pelo comprador; só o saldo dentro do app oficial vale.
  • Não informe código de verificação, senha, token ou foto de documento a ninguém, por telefone, chat ou e-mail.
  • Não clique em links de cobrança recebidos por mensagem sem conferir o domínio oficial da carteira.
  • Não transfira dinheiro para 'conta segura' ou 'conta de proteção'; instituições legítimas nunca pedem isso.
  • Não instale aplicativos de acesso remoto (como AnyDesk ou TeamViewer) a pedido de uma suposta central.

Os quatro formatos mais comuns

O falso comprovante é o golpe clássico em vendas online. O fraudador envia uma imagem ou PDF que imita o recibo do Mercado Pago, PicPay, PagBank ou Nubank e cobra a entrega imediata do produto. O documento pode ser editado ou totalmente falso, e o dinheiro nunca entra na conta. A única confirmação válida é a transação aparecer no extrato dentro do aplicativo oficial.

O link de cobrança falso replica a identidade visual da carteira em uma página fora do domínio oficial. Ao pagar, a vítima envia o valor a uma conta de terceiro ou entrega dados de cartão. Já a falsa central de atendimento usa engenharia social: alguém liga alegando movimentação suspeita e induz a vítima a transferir o saldo para uma 'conta segura' ou a informar códigos. O quarto formato é a conta invadida, em que o criminoso obtém acesso por phishing ou reaproveitamento de senha e movimenta o dinheiro.

Como identificar antes de cair

A regra central é simples: comprovante não é pagamento. Em vendas, confira o saldo dentro do app oficial pelo seu próprio caminho de navegação, nunca por um link recebido. Compare o nome do pagador, o valor exato e o horário. Em PIX, a confirmação aparece em segundos; uma alegação de que 'está em análise' ou 'cai em até 24 horas' costuma ser sinal de fraude.

Desconfie de qualquer contato não solicitado que crie urgência ou peça uma ação financeira. Nenhuma instituição legítima liga pedindo que você transfira dinheiro para se proteger, informe senha ou instale programas de acesso remoto. Verifique remetentes de e-mail e domínios de links com calma, e na dúvida feche tudo e procure o canal oficial você mesmo.

Quem vende ou recebe pagamentos com frequência deve adotar um procedimento fixo de conferência. Em volume, golpistas exploram a pressa: padronizar a checagem do saldo no app antes de liberar qualquer produto elimina a maior parte das fraudes de falso comprovante.

Cuida da segurança de uma empresa?

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

Da pessoa física à conta PJ: por que isso vira problema de empresa

Carteiras digitais deixaram de ser exclusivas de pessoas físicas. Mercado Pago, PicPay, PagBank e Nubank oferecem contas PJ, maquininhas e links de cobrança que pequenas e grandes empresas usam no dia a dia. O mesmo golpe de falso comprovante que atinge um vendedor individual pode causar prejuízo recorrente em um caixa corporativo, e a falsa central de atendimento mira gerentes financeiros com acesso a contas de maior saldo.

Quando vários colaboradores operam recebimentos, o elo fraco passa a ser o comportamento humano: um funcionário que libera mercadoria por um comprovante falso, ou que entrega credenciais a uma central forjada, expõe a empresa inteira. Conta invadida em ambiente PJ pode significar movimentação de valores altos, fraude em folha ou desvio para contas de laranjas.

É por isso que a defesa precisa ir além do indivíduo. A Decripte ajuda organizações de 1 a mais de 100.000 colaboradores a reduzir essa superfície de ataque, com um plano gratuito de Gestão de Ameaças que dá visibilidade sobre vazamentos de credenciais, domínios falsos e exposições que alimentam golpes em carteiras digitais. Conheça o plano gratuito e mapeie os riscos da sua empresa antes que virem prejuízo.

Recuperação: MED, contestação e órgãos de defesa

Para PIX feitos sob fraude, o Mecanismo Especial de Devolução (MED) é o caminho mais direto. Ao reportar o golpe pelo app, a instituição que recebeu o valor é notificada e pode bloquear e devolver o montante caso ainda exista saldo na conta de destino. O sucesso depende de agir rápido, antes que o criminoso esvazie a conta.

Em paralelo, formalize a contestação por escrito com a carteira ou o banco emissor do cartão e guarde o número de protocolo. Se a transação foi feita por cartão de crédito ou débito, o estorno (chargeback) também pode ser solicitado. Não havendo solução, registre reclamação no Banco Central pelos canais oficiais e leve o caso ao Procon do seu estado, que atua na relação de consumo com a instituição.

O boletim de ocorrência e o conjunto de provas sustentam todas essas etapas. A CERT.br orienta que incidentes de phishing e fraudes online sejam reportados, o que ajuda a derrubar páginas falsas e a alimentar bases de proteção usadas por bancos e empresas.

Termos importantes

MED (Mecanismo Especial de Devolução)
Ferramenta do Banco Central que permite contestar e tentar reaver PIX feitos por fraude ou erro operacional, acionada pelo app do banco ou carteira em até 80 dias do registro.
Engenharia social
Conjunto de técnicas de manipulação psicológica que induz a vítima a entregar informações ou executar ações, explorando urgência, medo ou confiança em vez de falhas técnicas.
Phishing
Tentativa de fraude que usa mensagens, e-mails ou páginas falsas imitando empresas conhecidas para capturar senhas, códigos e dados financeiros.
Chargeback
Solicitação de estorno de uma compra feita com cartão de crédito ou débito junto à bandeira e ao banco emissor, usada em casos de fraude ou produto não recebido.

Perguntas frequentes

Recebi um comprovante de pagamento, posso entregar o produto?

Não com base apenas no comprovante. Imagens e PDFs de recibo são facilmente forjados. Abra o aplicativo oficial da sua carteira, confira se o valor entrou no extrato com o nome e o horário corretos e só então libere o produto.

O dinheiro 'está em análise' e cai em 24 horas. É verdade?

Em PIX, a transferência é concluída em segundos. Alegações de análise, compensação ou liberação futura são quase sempre desculpas para ganhar tempo enquanto o golpista recebe o produto. Aguarde o valor aparecer de fato no app.

Caí no golpe e fiz um PIX. Consigo recuperar?

Há chance pelo MED do Banco Central, especialmente se você agir rápido e ainda houver saldo na conta de destino. Reporte o golpe pelo app, registre boletim de ocorrência, contestе por escrito e guarde todos os protocolos e prints.

A central da carteira me ligou pedindo para transferir o saldo. É legítimo?

Não. Nenhuma instituição financeira pede que você transfira dinheiro para uma 'conta segura', informe senha ou código, ou instale programas de acesso remoto. Encerre o contato e procure o canal oficial pelo próprio aplicativo.

Acho que minha conta foi invadida. O que faço primeiro?

Troque a senha do app e do e-mail vinculado, encerre as sessões ativas, revogue dispositivos desconhecidos e ative a verificação em duas etapas. Em seguida, contate a carteira pelo canal oficial e bloqueie cartões virtuais.

Como diferencio um link de cobrança verdadeiro de um falso?

Confira o domínio do endereço: deve corresponder exatamente ao site oficial da carteira, sem encurtadores ou variações estranhas. Na dúvida, não clique; gere ou pague a cobrança navegando você mesmo pelo aplicativo oficial.

Minha empresa usa conta PJ em carteira digital. O risco é diferente?

O formato do golpe é o mesmo, mas o impacto é maior: saldos altos, vários colaboradores operando recebimentos e exposição a fraude em folha. Vale padronizar a conferência de pagamentos e monitorar vazamentos de credenciais e domínios falsos.

Onde reportar a página ou mensagem falsa?

Reporte phishing e fraudes online à CERT.br, que ajuda a derrubar páginas falsas, e registre boletim de ocorrência. Você também pode reclamar no Banco Central e no Procon quando a instituição não resolve o caso.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.