Receber um SMS com uma oferta imperdível ou um aviso urgente pode ser uma armadilha. O golpe do link encurtado usa endereços como bit.ly para mascarar sites maliciosos e roubar seus dados, sendo uma das formas mais comuns de smishing (phishing por SMS).
Como o golpe do link encurtado funciona via SMS?
Os criminosos enviam uma mensagem com um texto que gera urgência ou curiosidade, como “Sua conta será bloqueada”, “Você ganhou um prêmio” ou “Agendamento de entrega cancelado”. A mensagem sempre contém um link encurtado.
O objetivo do link é esconder o verdadeiro endereço de destino. Ao clicar, a vítima é levada a uma página falsa que imita a de um banco, loja ou órgão do governo. Lá, ela é induzida a inserir informações confidenciais, como CPF, senhas e dados do cartão.
Leia também: Comunicado de segurança da Caixa: o recadastro do Caixa Tem nunca é feito por links em SMS – Monitor do Mercado
Por que os golpistas usam links como bit.ly?
Links encurtados são ferramentas legítimas para economizar espaço, mas os golpistas os utilizam por três motivos principais: mascarar o endereço malicioso, dificultar o bloqueio por filtros de spam e passar uma falsa sensação de segurança, já que o nome bit.ly é conhecido.
Um link de phishing geralmente tem um nome longo e estranho. Ao encurtá-lo, o golpista esconde esses sinais de alerta e aumenta a chance de a vítima clicar sem pensar. É uma tática de engenharia social para explorar a confiança e a desatenção.
Sinais de alerta em uma mensagem com link:
- Remetente é um número de celular desconhecido.
- Tom de urgência, ameaça ou oferta boa demais para ser verdade.
- Erros de português e gramática.
- Mensagem genérica, sem citar seu nome.
Como verificar um link encurtado antes de clicar?
A regra de ouro é: na dúvida, não clique. Se a mensagem parece ser de uma empresa com a qual você tem relacionamento, entre em contato por um canal oficial (site, aplicativo ou telefone) para confirmar a veracidade da comunicação.
Para te ajudar a navegar com mais segurança e proteger seu dinheiro, selecionamos o conteúdo do canal Nerds de Negócios. No vídeo a seguir, o especialista detalha visualmente as principais armadilhas digitais, como o phishing e a engenharia social, ensinando táticas essenciais como a verificação em duas etapas e o monitoramento de dados para evitar prejuízos financeiros e fraudes com o seu CPF:
Existem ferramentas online, como o Unshorten.It, que permitem expandir um link encurtado e ver o endereço de destino final sem precisar acessá-lo. Basta copiar o link da mensagem e colar no site para fazer a verificação.
O que fazer se você já clicou em um link suspeito?
Se você clicou e forneceu informações, aja imediatamente. Troque as senhas das contas que podem ter sido comprometidas (banco, e-mail, redes sociais) e entre em contato com seu banco para relatar a fraude e monitorar sua conta.
A Federação Brasileira de Bancos (FEBRABAN) possui uma página de segurança com alertas sobre smishing. O Centro de Tratamento de Incidentes de Redes do Governo (CTIR Gov) também publica orientações sobre segurança digital.
| Característica | Mensagem Legítima | Tentativa de Golpe |
| Remetente | Número oficial da empresa (short code). | Número de celular comum ou desconhecido. |
| Conteúdo | Informativo, sem pedidos urgentes de dados. | Alarmista, com ameaças ou promessas exageradas. |
| Link | Geralmente leva ao site oficial (ex: banco.com.br). | Usa links encurtados para mascarar o destino. |
