O que é scam e como se proteger?

O que é scam?

Scam é um termo inglês que pode ser traduzido diretamente para golpe ou fraude e, no contexto da cibersegurança, se refere a qualquer tática e meio usado pelos golpistas para enganar as vítimas, principalmente com o objetivo de roubar dados e dinheiro delas. Phishing, spoofing, disseminação de malware, golpes por telefone e estratégias de golpes no WhatsApp são alguns tipos de scam, por exemplo.

O termo apareceu nos Estados Unidos em 1963 como uma gíria típica do ambiente de circos usada para designar esquemas fraudulentos ou truques criados para enganar o público. Hoje, essa é uma expressão que abrange qualquer tipo de fraude e golpe, dentro e fora dos meios digitais. Agora que você já sabe o que significa scam, é importante enteder o que os golpistas mais querem.

O principal objetivo dos golpistas (ou scammers) é roubar dinheiro, mas eles também usam os golpes para obter outras vantagens (como dados pessoais para realizar diversos tipos de fraudes, por exemplo). As vítimas dos scams podem ter os dados vazados, as contas bancárias roubadas e até mesmo o cartão de crédito clonado.

Scam é um termo usado para se referir a golpes em geral, principalmente aqueles praticados de forma virtual. A palavra pode ser traduzida para o português como “golpe”, mas também há termos mais técnicos para se referir à prática de scam, como fraude na internet (ou fraude online) ou cibercrime (com estratégias que usam vários recursos, como scareware, por exemplo).

Conforme as plataformas digitais evoluem, os tipos de serviços oferecidos também mudam, o que levanta questões sobre sua segurança. Por exemplo: usar plataformas de carona compartilhada como o BlaBlaCar se tornou algo popular, mas também é algo que gera dúvidas sobre golpes que podem ser aplicados nestas plataformas (confira nosso guia completo para saber se o BlaBlaCar é seguro e como usá-lo da melhor forma).

Qual a diferença entre spam e scam?

Spam e scam podem parecer a mesma coisa, mas não são. Apesar de ser inconveniente, o spam é um termo usado para designar mensagens e conteúdo repetitivo, indesejável e enviado com frequência, de forma peristente e constante. Mas nem todo spam é criminoso ou fraudulento. Se você assinou um streaming, por exemplo, pode acabar recebendo muitas mensagens de ofertas, promoções e mudanças na programação, todas legítimas e sem nenhum risco à sua segurança. Isso é spam.

Scam é invariavelmente um golpe. E muitas táticas de scam envolvem o envio de spam, seja pelo e-mail, redes sociais ou aplicativos de mensagens como WhatsApp e Telegram, inclusive através de chamadas telefônicas feitas por bots ou criminosos que fingem fazer parte de agências de governo, empresas, bancos, serviços de atendimento e suporte ao consumidor, entre outros.

De forma simples, nem todo spam é um scam, mas um scam pode envolver estratégias de envio de spam para afetar o maior número possível de vítimas. Essa tabela comparativa pode te ajudar a entender ainda melhor as diferenças entre spam e scam:

O que é scammer?

Scammer é toda pessoa que pratica golpes. O termo pode ser traduzido de forma direta para golpista. É um termo em inglês usado principalmente para se referir a golpistas virtuais e cibercriminosos em geral.

Os scammers usam diversas táticas para atingir as vítimas e, apesar das variações entre elas, basicamente todas consistem em criar um senso de urgência, desespero ou empolgação nas vítimas, que são induzidas a seguir as instruções nas mensagens, clicar no conteúdo e baixar o que quer que os golpistas tenham colocado na mensagem.

Essas estratégias envolvem desde a disseminação de links maliciosos de phishing até o envio de malware. Você pode saber mais ainda sobre esses agentes maliciosos no nosso guia completo sobre o que é hacker.

Como funcionam os golpes de scam?

Scams são executados através de diferentes formas, mas todas elas têm como objetivo principal roubar dinheiros, propriedades e informações das vítimas. O funcionamento de um scam depende do tipo do scam.

No geral, os golpes e fraudes são executados em três etapas diferentes

1. 1.Contato/isca. Os gopistas fazem contato com a vítima, seja via e-mail, sites falsos, links de phishing, mensagem em redes sociais ou apps como o WhatsApp ou até mesmo chamadas telefônicas e qualquer outro tipo de método.
2. 2.Manipulação. Os golpistas criam um senso de urgência e tentam ganhar a confiança da vítima, facilitando o golpe.
3. 3.Ação. A vítima fornece os dados solicitados, clica no link, baixa o conteúdo nocivo ou realiza qualquer pagamento ou processo solicitado pelo criminoso.

Mas, em geral, eles são realizados por meio de contatos que os golpistas fazem com as vítimas, seja por e-mail, mensagem de SMS, chamada telefônica, mensagens em redes sociais (ou apps como o WhatsApp), onde se passam por representantes ou funcionários de empresas, agências de governo ou até pessoas conhecidas das vítimas.

Como as pessoas gastam cada vez mais tempo online, cibercriminosos aprimoram as táticas para aplicar golpes. Muitos golpes também envolvem malware (termo para malicious software, ou “programa malicioso”) que, basicamente, são programas com códigos nocivos que causam prejuízos aos dispositivos, sistemas, redes e usuários.

Por exemplo: um scammer que se passa por representante de suporte técnico de alguma empresa engana a vítima, fazendo com que ela instale malware (disfarçado de programas úteis para resolver algum problema) que, assim, abre ainda mais brechas para que o criminoso possa roubar dados e invadir o dispositivo.

Tipos de scams mais comuns

Phishing, spoofing, vishing, golpes do WhatsApp, spam, spoofing e outras formas de crimes são alguns exemplos de scams. Todos têm como objetivo prejudicar as vítimas e, de preferência, roubar dados pessoais, informações sigilosas, propriedades e dinheiro.

Mas há algumas diferenças de método que identificam e distinguem cada tipo de scam e nós separamos os tipos de golpes virtuais que são mais comuns e perigosos.

Phishing e spear phishing

É muito importante saber o que é phishing. O método de phishing consiste em enviar e-mails e mensagens de texto com links ou anexos infectados. Ao clicar nestes links ou baixar estes arquivos, a vítima acaba baixando spyware que se instala no dispositivo ou que redireciona para um website (em geral, sites falsos que são cópias de algum website legítimo).

Os cibercriminosos que enviam estes e-mails infectados fingem ser de algum banco, empresa, instituição financeira ou autoridade governamental e, assim, obtém informações pessoais das vítimas, que acreditam falar com algum representante legítimo destes órgãos e empresas. Eles até criam falsas ofertas imperdíveis, como mensagens falando sobre como ganhar um iPhone 16 por exemplo (o famoso golpe do iPhone), além de outras mensagens chamativas com o objetivo de roubar dados e dinheiro das vítimas.

Os ataques de whaling têm como objetivo principal empresas, corporações, organizações e até mesmo órgãos do governo. Eles são mais elaborados em relação a outras modalidades de phishing e são mais convincentes. O spear phishing, assim como o whaling, é o phishing mais bem elaborado com o objetivo de atingir alvos específicos, com mensagens mais personalizadas e um escopo menos genérico e abrangente que o do phishing convencional.

Nestes esquemas, a vítima pode até falar com um ser humano do outro lado da linha, mas estes golpes também usam mensagens gravadas ou bots e em geral pedem para que a pessoa ligue para o número visualizado.

Depois, geralmente por meio de uma mensagem gravada, os golpistas solicitam dados pessoais para redirecionar o usuário para um “assistente”. Mas, na verdade, as informações são dadas direto para um criminoso.

No Brasil, os aposentados e pensionistas são um dos principais alvos dos golpes de phishing. Os criminosos têm como vítimas principalmente pessoas idosas que recebem aposentadoria, ou pensionistas em geral. Através de contatos diversos (como ligações telefônicas, SMS, e-mail ou até mensagens no WhatsApp), os golpistas entram em contato com a vítima para obter dados pessoais como números de cartão de crédito, número de conta, senhas e outras informações sigilosas.

As táticas para este golpe incluem falsos valores a serem recebidos, cobranças de empréstimos ou benefícios do governo. Cibercriminosos também podem se passar por pessoas conhecidas das vítimas (principalmente por filhos, netos, sobrinhos ou outros graus de parentesco), fingindo acidentes, problemas com a polícia ou emergências médicas.

Eles solicitam valores em dinheiro que são pagos pelas vítimas, inclusive através de transferências por PIX. Aqui, o principal é se aproveitar do desespero ou do desconhecimento por parte de pessoas em situação de vulnerabilidade.

O que é chamada scam?

Chamada de scam ou golpe de chamada são fraudes cometidas pelos golpistas através de chamadas telefônicas, tanto para telefones fixos quanto dispositivos móveis. Hoje, com a predominância dos celulares, esses golpes se concentram quase que totalmente nesses aparelhos. Essa categoria de golpe também é conhecida como vishing (voice + phishing, ou phishing por voz).

Golpes de vishing envolvem ligações telefônicas por serviços de tecnologia VoIP, spoofing e caller ID. . Nestes ataques, os golpistas fingem ligar de uma empresa, banco ou agência de governo, ou fingem ser alguém que a vítima conhece.

Para se proteger desse tipo de golpe, é importante não fornecer nenhum tipo de dado pessoal na chamada, desligar assim que identificar o golpe (ou simplesmente não atender nenhuma ligação desconhecida) e entrar em contato com a empresa ou órgão de governo apenas através de um canal oficial (não entre em contato por nenhum canal ou mecanismo fornecido pelos golpistas na chamada ou em qualquer mensagem).

Golpes no WhatsApp e nas redes sociais

Scammers também usam aplicativos de mensagem como o WhatsApp e redes sociais para aplicar golpes. No Brasil, esta modalidade de scam é muito comum: os hackers entram em contato com as vítimas geralmente se passando por pessoas próximas (como amigos ou parentes) e pedem quantias em dinheiro para resolver supostos problemas, como tratamento médico, ajuda em algum acidente ou qualquer outra razão. Eles também oferecem falsas oportunidades de emprego no WhatsApp, no Telegram, no Facebook, no Instagram e outras mídias sociais. Os golpes em redes sociais são muito comuns porque possibilitam aos criminosos atingir uma quantidade massiva de pessoas de forma relativamente fácil.

Com a popularização dos pagamentos via Pix, eles também pedem por valores com a promessa de garantir vagas em processos seletivos, cursos falsos e resolução de problemas que na verdade não existem. O golpe do Pix errado é muito frequente. Nele, os criminosos fazem uma transferência geralmente usando uma conta roubada e pedem a devolução do valor para uma terceira conta, diferente daquela que foi usada para fazer a transferência inicial. Depois de fazer a devolução, o golpista aciona o MED (Mecanismo Especial de Devolução) e a vítima fica sem o dinheiro. Jamais faça qualquer transferência de volta. Ao invés disso, use a função de 'devolver' oferecida pelo app do seu banco.

Com o desenvolvimento das ferramentas de IA, os golpes em chamadas e vídeos com conteúdo cada vez mais convincente também aumentam. Os golpistas usam cada vez mais recursos de deepfake (confira nosso guia sobre deepfake o que é) para roubar dinheiro e dados das vítimas no WhatsApp, principalmente depois de roubar contas e usar identidades roubadas para atingir parentes, amigos e conhecidos das vítimas.

Também há contatos de falsas oportunidades de emprego. Neste tipo golpe no WhatsApp, os cibercriminosos enviam links contaminados para as vítimas que, ao clicar neles, são levadas a websites nocivos e induzidas a fornecer dados pessoais.

Scam do falso suporte técnico

Este tipo de scam pode ser categorizado como vishing, mas merece destaque especial porque os golpistas se valem de grupos empresariais muito reconhecidos e órgãos de governo sérios: eles se passam por funcionários de empresas como Apple, Google, Microsoft (ou como agentes da polícia, funcionários de algum banco ou órgãos de Justiça ou da Receita Federal, entre outros).

Uma das estratégias mais comuns é aquela onde os golpistas mentem dizendo que o computador foi infectado com vírus e que precisam dos dados pessoais para conseguir acesso remoto ao dispositivo para remover o suposto vírus do computador. Depois de acessar o aparelho da vítima, instalam keylogger (ou outros tipos de malware – verifique nosso artigo sobre o que é malware) para gravar as teclas digitadas e, assim, descobrir senhas de acesso. Muitos golpistas já usam métodos de spoofing em scams de port-out que copiam números de telefone legítimos. Tenha bastante cuidado e lembre-se que empresas e agências de governo nunca solicitam informações sensíveis no telefone..

Doxxing

Golpes de doxxing consitem em roubar informações particulares e divulgar estas informações. Podem ser fotos, endereços residenciais, detalhes de cartão de crédito, local de trabalho ou documentos privados. Enfim, qualquer coisa sigilosa em relação à vítima.

Criminosos podem vender informações pessoais para outros golpistas ou usá-las para chantagear a vítima. Eles conseguem roubar os dados através de vazamentos de informações, hackeando dispositivos ou stalkeando informações dadas pelas próprias vítimas em plataformas como redes sociais.

Spam

Bilhões de e-mails de spam são enviados todos os dias. São anúncios falsos, publicidade indesejada, inúmeras mensagens com malware que infectam os dispositivos das pessoas.

Mensagens e e-mails de spam contém links ou anexos que, quando clicados, redirecionam as vítimas para websites maliciosos ou instalam malware no dispositivo. Em geral, criminosos obtém dados pessoais usados nos golpes por meio de vazamentos de dados ou por bancos de dados de “serviços gratuitos” assinados pelas pessoas.

Fraudes de falsas oportunidades

Neste tipo de scam, golpistas convencem as vítimas a pagar por serviços falsos que elas nunca irão receber. São vagas de emprego falsas, empréstimos inventados do nada ou qualquer outro tipo de “oportunidade” ou cobrança indevida.

Antes de pagar qualquer coisa, entre em contato com a suposta empresa ou órgão através de um canal legítimo, seguro e oficial.

Catfishing

Você sabe o que é catfish ? É uma modalidade de golpe que também é conhecida como golpe do encontro virtual e que consiste em golpistas que usam perfis falsos (fakes) para contactar vítimas em potencial. Depois de ganhar a confiança da pessoa, os scammers começam a combinar encontros reais (que nunca acontecem) e, ao mesmo tempo, falam de uma série de falsos problemas (financeiros, de saúde ou até falsas taxas de deslocamento e correspondências, entre outras coisas) e pedem valores em dinheiro às vítimas. Exija uma chamada de vídeo e pesquise bem para verificar se o perfil é real. Jamais envie valores ou forneça dados pessoais para alguém que você não conhece.

Scams postais

Este golpe consiste em enviar mensagens pedindo para alterações nas correspondências. Quando os criminosos enviam links contaminados para as vítimas e elas clicam neles, elas são redirecionadas para websites falsos onde fornecem dados pessoais aos hackers (confira nosso guia sobre o que é hacker e saiba como se proteger deles).

Nunca clique em links de mensagens estranhas nem baixe nada suspeito. Em geral, estes websites falsos possuem um layout estranho, erros de ortografia e digitação e a URL é bem diferente do endereço dos websites originais.

Golpes de criptomoedas

Golpes com criptomoedas são usados por golpistas para roubar ativos digitais das vítimas. Só em 2025, de acordo com a Federal Trate Commission (“Comissão Federal de Comércio”), as perdas com golpes relacionados a criptomoedas somaram mais de US$ 8.6 bilhões de dólares. Os hackers usam websites e apps falsos, além de esquemas que atraem vítimas prometendo ganhos e rendimentos fora da realidade.

Com carteiras falsas, as informações pessoais das vítimas são vazadas para os scammers. Em golpes do tipo pump-and-dump, criminosos se aproveitam do hype em torno de determinados ativos digitais, como NFT ou criptomoedas, inflando os preços, pegando os investimentos das vítimas e abandonando as falsas moedas logo em seguida. Táticas de pump-and-dump (inflar artificialmente o valor de criptomoedas obscuras e depois vendê-las por preços altos) e pig butchering (garantir ganhos para as vítimas, fazendo com que elas invistam mais dinheiro e depois roubar tudo de uma só vez.

Golpes com inteligência artificial

Com as tecnologias e ferramentas de IA ficando cada vez mais complexas e acessíveis, os golpistas conseguem criar conteúdo mais convincente, difícil de identificar e mais eficiente no sentido de roubar dados e dinheiro das vítimas, criando conteúdo de deepfake (confira nosso guia completo 'deepfake o que é') de áudio e vídeo e até sites falsos e mensagens de phishing gerados por IA.

O conteúdo nocivo gerado por IA é muito mais difícil de ser identificado, já que passa muito mais credibilidade (com um nível gramatical melhor, por exemplo) e capacidade de convencimento do que o material produzido manualmente pelos golpistas.

Scams no Brasil: dados e estatísticas

O cenário de golpes no Brasil é extremamente preocupante. De acordo com dados do Serasa Experian, o país registrou quase 7 milhões de tentativas de fraudes em 2025, um aumento de 30% em relação ao ano anterior.

A GASA (Global Anti-Scam Alliance) mostrou que países em desenvolvimento como o Brasil têm perdas causadas por golpes equivalentes a 3 ou 4% do próprio PIB. O setor bancário, o e-commerce e os cartões de crédito é o principal alvo dos golpes. Segundo dados divulgados no relatório de 2025, o Brasil é o terceiro país com o maior número de roubos de contas bancárias, atrás apenas da Índia e da Espanha.

Como saber se é scam?

Como detectar tentativas de scam e saber se um e-mail supostamente da Netflix, Amazon (confira nosso guia completo sobre golpes na Amazon) ou PayPal é seguro ? Há algumas formas de identificar se estão tentando aplicar golpes em você ou se você já foi vítima de algum golpe.

• Solicitam informações pessoais. Empresas e autoridades possuem políticas sérias para lidar com dados pessoais e proíbem seus representantes de solicitar informações sensíveis dos cidadãos e usuários (como senhas de banco e informações de cartão de crédito, por exemplo). Isto inclui números de telefone, detalhes bancários e informações de login. Se alguém pede e insiste em acessar seus dados pessoais, isto é um sinal claro de que se trata de scam.
• Usam urgência ou manipulação emocional. Uma organização profissional não faz apelos emocionais. Golpistas usam do desespero, da ganância, do desconhecimento, pressão e chantagem das vítimas para colocá-las em uma situação de vulnerabilidade que facilita o golpe.
• Erros de ortografia e URLs suspeitas. Se você receber algum e-mail, mensagem ou visitar um website com muitos erros de ortografia, gramática e digitação, desconfie. Em geral, golpistas pressionam as vítimas a tomar decisões rápidas e não se preocupam muito com perfeição ou estética. Preste muita atenção também ao endereço (a URL) dos websites que você visita.
• Contato inesperado. Contatos súbitos e inesperados são sinais vermelhos de scam. Se você receber um contato inesperado, entre em contato com a empresa ou agência por um canal seguro e jamais repasse dados pessoais.
• Ofertas boas demais para ser verdade. Como diz o ditado: “quando a esmola é muita, o santo desconfia”. Se uma oferta for boa demais para ser verdade, é muito provável que se trate de um scam.

É fundamental tomar cuidado com sites falsos que te induzem a compartilhar informações sigilosas e baixar conteúdo nocivo.

Como identificar um scammer?

Apesar das estratégias usadas pelos golpistas, há vários sinais que servem para identificar um scammer. Se a pessoa usa uma foto, fazer uma pesquisa reversa pela foto pode ajudar a identificar a origem real dela, o que ajuda a identificar golpes de roubo de identidade. Histórias inconsistentes, pedidos de dinheiro e um tom de urgência, ameaça e intimidação são sinais claros de que a pessoa é golpista.

Como se proteger contra scammers

E então, seu país corre alto risco cibernético ? Independente da resposta, você precisa proteger seus dados pessoais e suas finanças.

Apesar de todos os alertas vermelhos e riscos de golpes, você pode adotar algumas dicas para reduzir consideravelmente a probabilidade de ser vítima de algum scam.

Como se proteger contra scammers

E então, seu país corre alto risco cibernético ? Independente da resposta, você precisa proteger seus dados pessoais e suas finanças.

Apesar de todos os alertas vermelhos e riscos de golpes, você pode adotar algumas dicas para reduzir consideravelmente a probabilidade de ser vítima de algum scam.

• Limite as informações pessoais online (redes sociais, dados públicos). Filtre melhor o que você expõe nos ambientes digittais, informe-se sobre os riscos das redes sociais e preserve sua privacidade o máximo possível. Os golpistas usam dados que muitas vezes as próprias vítimas compartilham, então uma boa netiqueta ajuda a evitar riscos.
• Use autenticação de dois fatores (2FA ou duplo fator de autenticação) em todas as contas. Ativar a autenticação de dois fatores ou a autenticação multifatorial dá uma camada extra de segurança para as suas contas.
• Não clique em links nem baixe arquivos suspeitos. Grande parte dos golpes exige que você clique em algum link, responda uma mensagem, atenda uma chamada ou baixe algo. Ter mais cautela ajuda a evitar muitos riscos.
• Nunca forneça dados sigilosos por telefone, e-mail ou mensagem. Não dê informações pessoais nem faça nenhum pagamento. Se tiver dúvida, entre em contato com serviços oficiais de suporte e não use nenhum canal informado se você suspeitar que é um golpe.
• Verifique a identidade antes de transferir dinheiro. Não faça nenhum tipo de transferência e pagamento sem ter certeza absoluta sobre a procedência e a integridade do conteúdo.
• Mantenha dispositivos e software atualizados. Atualizar seus programas, apps e sistemas operacionais corrige vulnerabilidades de segurança e dificulta a vida dos cibercriminosos.
• Use uma VPN com proteção Contra Ameaças Pro™. Uma VPN dá proteção adicional contra os scammers, e a NordVPN ainda conta com a funcionalidade de Proteção Contra Ameaças Pro™ que bloqueia páginas de phishing, publicidade indesejada e verifica seus downloads para identificar malware.