Segurança Digital · Fraude

Golpes em marketplaces e classificados: como comprar, vender e recuperar o dinheiro

Resposta rápida

Em marketplaces e classificados como OLX, Mercado Livre, Enjoei e Facebook Marketplace, a maioria das fraudes nasce ao tirar a negociação de dentro da plataforma. O golpista envia um falso comprovante de Pix, um link de "pagamento seguro" que imita a marca, ou um QR Code fora do sistema. Regra prática: só entregue o produto após confirmar o dinheiro na sua conta pelo app do banco, nunca pelo comprovante enviado pelo outro lado. Se você pagou por Pix, acione o MED no banco em até 80 dias.

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.

Sinais de alerta

  • O outro lado insiste em sair do chat da plataforma para tratar tudo por WhatsApp, alegando que assim 'evita taxa' ou 'agiliza o pagamento'.
  • Você recebe uma imagem ou PDF de comprovante de Pix, mas o valor não aparece no extrato do seu próprio aplicativo bancário.
  • Chega um link de 'pagamento seguro' ou 'liberação de frete' que imita a marca do marketplace, mas o endereço do site não é o domínio oficial.
  • Pedem que você escaneie um QR Code para 'receber' o pagamento — QR Pix sempre serve para pagar, nunca para receber.
  • Há pressa artificial: o comprador diz que já enviou o motoboy, ou o vendedor afirma que outra pessoa vai levar o item se você não pagar agora.
  • O preço está bem abaixo do mercado e o anúncio pede sinal, taxa de reserva ou pagamento antecipado fora da plataforma.

Passo a passo — o que fazer

  1. 1

    1. Pare e confirme o dinheiro na fonte

    Não entregue o produto nem libere nada com base em comprovante recebido por imagem ou mensagem. Abra o aplicativo do seu banco e confirme se o valor realmente caiu na sua conta. Comprovante não é dinheiro.

  2. 2

    2. Reúna as provas antes que sumam

    Tire prints do anúncio, da conversa completa, do perfil do golpista, do link recebido e do suposto comprovante. Salve URLs, números de telefone, chave Pix e dados bancários informados. Isso será essencial para o banco e para o boletim de ocorrência.

  3. 3

    3. Acione o MED no seu banco se pagou por Pix

    Se você transferiu por Pix e foi enganado, registre uma contestação pelo Mecanismo Especial de Devolução (MED) no app ou central do seu banco. O pedido deve ser feito em até 80 dias da transação; o banco bloqueia e tenta devolver o saldo que ainda estiver na conta do recebedor.

  4. 4

    4. Conteste cartão ou boleto fraudulento

    Se o pagamento foi por cartão de crédito, peça o chargeback à operadora ou ao banco emissor relatando a fraude. Boletos pagos a terceiros desconhecidos também devem ser reportados imediatamente ao banco.

  5. 5

    5. Denuncie o anúncio e o perfil na plataforma

    Use o canal de denúncia do próprio marketplace (OLX, Mercado Livre, Enjoei, Facebook Marketplace) para reportar o anúncio e o usuário. Plataformas têm programas de proteção e podem reembolsar quando a compra foi feita dentro do fluxo oficial.

  6. 6

    6. Registre boletim de ocorrência

    Faça o B.O. na delegacia eletrônica do seu estado ou em uma delegacia especializada em crimes cibernéticos. Anexe todas as provas reunidas. O número do registro costuma ser exigido pelo banco e pela plataforma para dar andamento.

  7. 7

    7. Reporte links e QR Codes falsos

    Encaminhe o link ou QR Code de 'pagamento seguro' falso para o CERT.br ([email protected]) e para o canal de phishing do banco cuja marca foi imitada. Isso ajuda a derrubar a página e a proteger outras vítimas.

  8. 8

    8. Registre reclamação no Procon e Consumidor.gov.br

    Se a plataforma não resolver, registre o caso no Procon do seu estado e na plataforma Consumidor.gov.br, do governo federal. Mantenha protocolos e prazos anotados para acompanhar a tratativa.

O que NÃO fazer

  • Não trate de pagamento fora do chat e do sistema oficial da plataforma, mesmo que o outro lado prometa desconto ou rapidez.
  • Não confie em comprovante de Pix recebido por imagem, PDF ou link — só vale o valor que você vê no extrato do seu próprio banco.
  • Não escaneie QR Code 'para receber' dinheiro: QR Pix gera pagamento, então quem escaneia paga, e não recebe.
  • Não clique em links de 'pagamento seguro', 'liberar frete' ou 'confirmar entrega' enviados em conversa privada; acesse o app oficial digitando o endereço você mesmo.
  • Não pague sinal, taxa de reserva ou frete antecipado a vendedores que você não consegue verificar dentro da plataforma.

Como funcionam os golpes em marketplaces e classificados

O denominador comum dessas fraudes é tirar a negociação do ambiente protegido da plataforma. Dentro de OLX, Mercado Livre, Enjoei ou Facebook Marketplace existem mecanismos de intermediação, retenção de pagamento e denúncia. Ao migrar a conversa para o WhatsApp ou outro canal privado, o golpista anula essas proteções e fica livre para improvisar.

No golpe contra o vendedor, o criminoso se passa por comprador interessado, combina a compra e envia um comprovante de Pix falsificado — uma imagem editada ou um PDF que imita o layout do banco. O vendedor, confiando no documento, entrega o produto ou libera o motoboy antes de checar o extrato. Variante comum: o falso comprador diz que pagou 'a mais' por engano e pede a devolução da diferença, somando o prejuízo.

No golpe contra o comprador, o falso vendedor anuncia um item com preço atraente e pede pagamento antecipado fora da plataforma, com a desculpa de evitar taxas. Outra técnica é enviar um link de 'pagamento seguro' que reproduz a identidade visual do marketplace ou do banco, mas hospedado em um domínio diferente do oficial, capturando dados de cartão ou redirecionando o Pix para a conta do criminoso.

Há ainda o golpe do QR Code: o fraudador pede que a vítima escaneie um código alegando que é para 'receber' o valor. Na prática, o QR Pix sempre representa uma cobrança — quem escaneia e confirma está pagando. Esse detalhe técnico é o que faz a armadilha funcionar contra quem não conhece o funcionamento do Pix.

Como comprar e vender com segurança nesses canais

Mantenha toda a negociação, o pagamento e a comunicação dentro da plataforma. Os programas de proteção ao comprador e ao vendedor só cobrem transações feitas pelo fluxo oficial; pagamentos combinados por fora ficam fora de qualquer garantia. Desconfie de quem insiste em sair do chat.

Como vendedor, a regra é única: só entregue o produto depois de ver o dinheiro no extrato do seu próprio banco. Abra o aplicativo bancário e confira o saldo — nunca aceite a imagem de comprovante enviada pelo comprador como prova de pagamento. Comprovantes são triviais de falsificar.

Como comprador, prefira pagamento e entrega intermediados pela plataforma, com rastreio. Em encontros presenciais, escolha locais públicos e movimentados, teste o produto antes de pagar e jamais escaneie QR Code apresentado pelo vendedor sob a alegação de que serve para receber. Verifique a reputação, o histórico e a data de criação do perfil antes de fechar negócio.

Se a sua empresa atua nesses canais — seja uma loja oficial, seja um time comercial que negocia por marketplaces —, esse mesmo conjunto de fraudes pode ser usado contra a sua marca: perfis falsos imitando sua loja, anúncios clonados e links de pagamento que abusam da sua identidade visual. A Decripte mantém um plano gratuito de Gestão de Ameaças que monitora o uso indevido da marca e perfis falsos; vale conhecer antes que um golpista use o nome do seu negócio para enganar clientes.

Cuida da segurança de uma empresa?

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

Já caiu no golpe? Como tentar recuperar o dinheiro

A velocidade é decisiva. Se o pagamento foi por Pix, o caminho é o Mecanismo Especial de Devolução (MED), criado pelo Banco Central justamente para casos de fraude e falha operacional. Você abre a contestação pelo aplicativo ou central do seu banco, e a instituição do recebedor tem a obrigação de analisar e bloquear o saldo que ainda existir na conta de destino. O pedido precisa ser feito em até 80 dias da transação.

O MED não garante a recuperação total: se o golpista já transferiu o dinheiro adiante, pode não restar saldo a devolver. Por isso, registrar a contestação nas primeiras horas aumenta muito a chance de recuperar o valor. Para pagamentos por cartão de crédito, o equivalente é o chargeback, solicitado à operadora ou ao banco emissor.

Em paralelo, registre o boletim de ocorrência, denuncie o anúncio e o perfil na plataforma e acione o programa de proteção do marketplace quando a compra tiver sido feita dentro do fluxo oficial. Se não houver acordo, leve o caso ao Procon e ao Consumidor.gov.br. Guarde todos os protocolos: eles documentam que você agiu de boa-fé e dentro do prazo.

Quando o golpe usa a marca do marketplace: o lado das empresas

As mesmas fraudes contra pessoas físicas têm uma dimensão corporativa direta. Criminosos registram domínios parecidos com os de marketplaces e bancos, copiam logotipos e layouts e montam páginas de 'pagamento seguro' para capturar dados. Esse abuso de marca, conhecido como brand abuse, mancha a reputação da empresa imitada e gera prejuízo a clientes que confiavam naquele nome.

Lojas e marcas que vendem por marketplaces também enfrentam perfis falsos: contas que se passam pela loja oficial, clonam descrições e fotos de produtos e desviam compradores para fora da plataforma. Quanto antes esses perfis e domínios são identificados e derrubados, menor o número de vítimas e o desgaste da marca.

Para uma empresa, defender-se exige monitoramento contínuo de domínios semelhantes, perfis em redes sociais e marketplaces, e páginas de phishing que usam a sua identidade. É um trabalho de inteligência de ameaças que vai além do que uma pessoa física consegue acompanhar manualmente, e que protege ao mesmo tempo a reputação do negócio e a segurança dos clientes.

Como a Decripte ajuda empresas a combater fraude de marca e perfis falsos

A Decripte é uma empresa brasileira de cibersegurança B2B que atende organizações de portes muito diferentes — de pequenos negócios a operações com mais de 100.000 colaboradores. Nosso foco é dar visibilidade sobre as ameaças que circulam fora do perímetro da empresa, como domínios falsos, perfis fraudulentos e abuso de marca em marketplaces e redes sociais.

Oferecemos um plano gratuito de Gestão de Ameaças, pensado para que qualquer empresa comece a monitorar o uso indevido da sua marca sem custo inicial. A plataforma ajuda a identificar perfis falsos que se passam pela sua loja, anúncios clonados e páginas que imitam sua identidade visual, agilizando os pedidos de remoção.

Se a sua empresa vende por marketplaces ou tem a marca explorada por golpistas que enganam consumidores, conhecer e ativar a Gestão de Ameaças da Decripte é um passo concreto para reduzir o brand abuse e proteger seus clientes da mesma engenharia social descrita neste artigo.

Termos importantes

MED (Mecanismo Especial de Devolução)
Ferramenta criada pelo Banco Central que permite contestar um Pix feito por fraude ou erro. O banco do recebedor pode bloquear e devolver o saldo ainda disponível; o pedido deve ser feito em até 80 dias da transação.
Falso comprovante de Pix
Imagem ou PDF editado que imita o comprovante de uma transferência que nunca ocorreu. Só vale como prova de pagamento o valor efetivamente creditado no extrato do recebedor, verificado no aplicativo do próprio banco.
Brand abuse (abuso de marca)
Uso indevido do nome, logotipo e identidade visual de uma empresa por terceiros, em domínios falsos, perfis fraudulentos ou páginas de phishing, para enganar consumidores e lesar a reputação da marca.
Chargeback
Contestação de uma compra paga com cartão de crédito junto à operadora ou ao banco emissor. Em casos de fraude comprovada, a cobrança pode ser cancelada e o valor estornado ao titular.

Perguntas frequentes

Recebi um comprovante de Pix do comprador. Posso entregar o produto?

Não com base no comprovante. Abra o aplicativo do seu banco e confirme se o valor realmente caiu na sua conta. Comprovantes em imagem ou PDF são facilmente falsificados; só o extrato do seu banco prova que o dinheiro entrou.

Por que pedem para eu escanear um QR Code 'para receber' o pagamento?

Porque é golpe. O QR Code do Pix sempre representa uma cobrança: quem escaneia e confirma está pagando, não recebendo. Se alguém pede que você leia um QR para 'receber', está tentando fazer você transferir dinheiro para a conta dele.

Paguei por Pix e fui enganado. Consigo o dinheiro de volta?

É possível pelo MED, o Mecanismo Especial de Devolução do Banco Central. Registre a contestação no app ou na central do seu banco em até 80 dias. O banco do recebedor tenta bloquear e devolver o saldo que ainda existir na conta de destino, mas a recuperação não é garantida se o valor já tiver sido transferido adiante.

O golpista insistiu em fechar negócio pelo WhatsApp. Isso é seguro?

É um sinal de alerta. Sair do chat da plataforma anula os programas de proteção ao comprador e ao vendedor e a possibilidade de denúncia interna. Mantenha negociação, pagamento e comunicação dentro do sistema oficial do marketplace.

Como sei se o link de 'pagamento seguro' é verdadeiro?

Confira o endereço do site. Páginas falsas imitam o logotipo e o layout do marketplace ou do banco, mas usam um domínio diferente do oficial. Não clique em links recebidos em conversa privada; acesse a plataforma digitando o endereço oficial você mesmo ou pelo aplicativo.

A plataforma é obrigada a me reembolsar?

Depende. Os programas de proteção de OLX, Mercado Livre, Enjoei e Facebook Marketplace costumam cobrir compras feitas dentro do fluxo oficial, com pagamento intermediado. Negociações fechadas por fora, em pagamento direto, ficam fora dessas garantias. Denuncie o anúncio e o perfil de qualquer forma.

Onde denuncio o anúncio falso e o link fraudulento?

Use o canal de denúncia da própria plataforma para reportar anúncio e perfil. Encaminhe links e QR Codes falsos ao CERT.br ([email protected]) e ao canal de phishing do banco cuja marca foi imitada. Registre também boletim de ocorrência e, se preciso, reclamação no Procon e no Consumidor.gov.br.

Sou lojista e descobri perfis falsos usando o nome da minha loja. O que faço?

Reúna prints e URLs, peça a remoção pelos canais das plataformas e monitore continuamente o uso indevido da marca. A Decripte oferece um plano gratuito de Gestão de Ameaças que ajuda a identificar perfis falsos, anúncios clonados e domínios que abusam da sua identidade visual.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.