Golpes, Inteligência de Ameaças

E-mails falsos sobre renovação de domínios induzem proprietários de sites a pagar aos golpistas

por Stefan Dasic | 25 de junho de 2026
Engenharia social
Adicionar como fonte preferencial no Google

Você recebe um e-mail avisando que o nome de domínio do seu site está prestes a expirar. “Renove agora”, diz a mensagem, “ou seu site e seu e-mail podem deixar de funcionar”. O link abre uma página com aparência profissional que já identifica o seu nome de domínio, exibe o seu registrador e a data de validade e inicia uma contagem regressiva.

Parece urgente e pessoal, por isso parece real.

O site, chamado Renovarix, não renova domínios. Em vez disso, ele direciona os visitantes por uma série de páginas que coletam informações pessoais e, por fim, dados de pagamento.

Renovação falsa de domínio

Como funciona o golpe

Os nomes de domínio realmente expiram, e perder um pode ser um problema sério. Para muitas pessoas e empresas, um domínio é mais do que um endereço na web. É a sua marca, seu e-mail, suas posições nos resultados de busca e o nome que os clientes digitam quando querem encontrá-lo. Se ele expirar, seu site e seu e-mail podem deixar de funcionar. Se outra pessoa o registrar antes que você consiga recuperá-lo, a recuperação pode ser difícil ou impossível. É muito o que se pode perder, e os golpistas sabem disso.

Esse golpe se aproveita desse medo por meio de um processo de renovação falso, mas convincente.

O e-mail e o site são falsos. Os “dados de registro em tempo real” são apenas parcialmente verdadeiros. Clicar em “Renovar agora” não renova seu domínio. Em vez disso, você é redirecionado por uma série de sites que, primeiro, coletam seu nome, endereço, número de telefone e e-mail e, por fim, solicitam os dados de pagamento.

Se você excluiu o e-mail, não há motivo para se preocupar. Se você clicou no link, basta fechar a página. Se você inseriu informações pessoais ou de pagamento, siga as orientações acima.

O e-mail que dá início a tudo

O golpe começa com um e-mail, embora a forma como ele se apresenta varie. Alguns são bem rudimentares: um simples “Lembrete de renovação de domínio” enviado por uma empresa genérica chamada “Domain Services Inc.”, com um número de fatura e um valor a pagar.

E-mail falso de renovação

Outros são bem mais sofisticados, utilizando a marca Renovarix, um número de referência e um endereço comercial em Londres que transmite seriedade.

E-mail falso de renovação

Mas há um detalhe em comum. O aviso “oficial” de renovação da Renovarix foi enviado de um endereço comum do Gmail. É improvável que uma empresa que alega ter um escritório em Londres e suporte 24 horas por dia, 7 dias por semana, envie avisos de cobrança pelo Gmail. Quando a identidade visual parece profissional, mas o remetente não condiz com isso, esse é um grande sinal de alerta.

Uma página que sabe demais

O link abre uma página que realiza imediatamente uma “consulta”, informando o andamento do processo com mensagens como “conectando-se ao registro” e “buscando registros WHOIS” antes de exibir seu nome de domínio, registrador e data de validade.

Renovação falsa de domínio

Isso dá a impressão de que o site consultou o registro oficial de domínios. Algumas das informações podem vir de registros públicos genuínos, mas grande parte do que faz a página parecer confiável é inventada. Por exemplo, o “ID de Registro” exibido não é obtido de nenhum registro. Ele é gerado localmente no seu navegador a partir do seu nome de domínio e existe apenas para parecer oficial.

Tudo foi feito para te deixar em pânico

Assim que esse painel é carregado, a página inteira se transforma em um funil criado para apressar você.

Um banner vermelho afirma que seu domínio expira em “03 dias”, independentemente da data real de validade. Uma segunda contagem regressiva indica que um “preço especial” de € 2,00, com desconto de € 9,99, expira em quinze minutos. Tente fechar a página e aparecerá uma janela pop-up com o aviso: “Espere — seu domínio está em risco!”, com um botão para fechar a janela que diz: “Não, obrigado, vou arriscar.”

Falsa urgência de renovação

Registradores legítimos não recorrem a contadores regressivos nem a janelas pop-up que induzem à culpa. A pressão, por si só, já é um golpe.

A “renovação” não renova nada

Este é o sinal mais claro de que algo está errado: clicar em “Renovar agora” não entra em contato com o seu registrador nem processa a renovação. Simplesmente redireciona o seu navegador para outro site.

Algumas versões chegam a exibir uma mensagem de confirmação animada, do tipo “Renovação concluída!”, com uma nova data de validade, um número de confirmação e uma mensagem informando que um comprovante foi enviado por e-mail. Nada disso reflete uma transação real. Tudo é gerado no seu navegador.

Para onde seus dados realmente vão

O botão redireciona você, por meio de um link de afiliado de marketing, para uma página chamada “Finalização segura da compra”.

Finalizar a compra para coletar dados

A página solicita seu nome, endereço, CEP, cidade, número de telefone e endereço de e-mail. Após o envio, você é direcionado para outras páginas, onde, por fim, é solicitado o pagamento.

Finalizar a compra para coletar dados

Dois detalhes sugerem que se trata de um kit de golpe reutilizado, e não de um serviço de domínio legítimo. Ele consegue preencher automaticamente seus dados a partir do link em que você clicou, e suas avaliações falsas de cinco estrelas ainda fazem referência ao “HappyPrizes” e à facilidade de “ganhar algo legal” — trechos remanescentes de um golpe anterior envolvendo prêmios que utilizava o mesmo modelo.

Por que as pessoas caem nessa

O golpe funciona porque se aproveita de uma preocupação genuína. Ele começa com uma premissa verossímil. As renovações de domínio são uma parte normal da gestão de um site, por isso um aviso de vencimento não parece fora do comum. Os golpistas aproveitam isso com uma identidade visual convincente, informações de domínio público e uma sensação de urgência criada artificialmente.

Além disso , parece algo pessoal. Muitas pessoas se perguntam como os golpistas sabiam sobre seu domínio específico. A resposta é que eles não conhecem você pessoalmente. Todo domínio registrado aparece nos registros públicos do WHOIS/RDAP, que incluem o nome do domínio, o registrador, datas importantes e, às vezes, um endereço de e-mail de contato. Os golpistas coletam essas informações em massa e, em seguida, geram links que exibem os detalhes do seu próprio domínio para você. Ver informações familiares faz com que a página pareça legítima, mesmo que tenha vindo de registros públicos.

Por fim, o golpe cria um senso de urgência. Contadores regressivos , avisos de que seu domínio está em risco e uma “oferta especial” de € 2,00 foram criados para fazer com que você aja antes de parar para verificar a veracidade da informação. O preço baixo não é o objetivo. O objetivo são suas informações pessoais e seus dados de pagamento.

Nada disso significa que a vítima seja descuidada. Isso apenas mostra que ela é humana, alvo de pessoas que sabem como um proprietário de site preocupado reage.

O que fazer

Se você receber um e-mail como esse, basta excluí-lo. A maneira mais segura de lidar com qualquer renovação de domínio é simples:

  • Não clique no link do e-mail. Acesse o site do seu registrador usando seus próprios favoritos ou digitando o endereço manualmente e verifique lá a data de validade real. Se você clicou no link, feche a página. Apenas dar uma olhada nela não coloca seu domínio em risco.
  • Saiba quem é o seu registrador. A renovação é feita na conta que você já possui, e não em um site do qual você nunca ouviu falar.
  • Encare a urgência como um sinal de alerta, não como um motivo para se apressar. As renovações de verdade não são emergências de quinze minutos.
  • Verifique o remetente. Avisos de cobrança enviados de um endereço do Gmail ou com o nome de uma marca que não corresponda ao seu provedor real são sinais de alerta.
  • Malwarebytes Browser Guard é gratuito e pode ajudar a bloquear páginas fraudulentas e de phishing enquanto você navega.

Se você já inseriu informações pessoais (como seu nome, endereço, número de telefone ou endereço de e-mail):

  • Esteja preparado para tentativas de fraude subsequentes. Os invasores podem entrar em contato com você por telefone ou e-mail, alegando ser seu registrador ou fazendo referência ao seu domínio, a um “pedido” ou a uma “renovação”.
  • Não confie em ligações ou e-mails não solicitados, mesmo que pareçam conhecer detalhes sobre o seu domínio.
  • Se precisar entrar em contato com seu registrador ou banco, use os dados de contato disponíveis no site oficial deles, e não aqueles fornecidos no e-mail ou na página fraudulenta.

Se você inseriu os dados do cartão de pagamento:

Ative os alertas de transações para ser notificado assim que seu cartão for utilizado.

Entre em contato com seu banco ou com a administradora do cartão imediatamente. Informe que você inseriu os dados do seu cartão em um site fraudulento e pergunte se eles recomendam bloquear e substituir o cartão, mesmo que você ainda não tenha percebido nenhuma cobrança não autorizada.

Fique de olho na sua conta. Às vezes, os golpistas fazem pequenas cobranças “de teste” antes de tentarem transações de valores maiores.

Indicadores de comprometimento

  • renovarix[.]org — página falsa de renovação de domínio
  • xe54ghj[.]com — redirecionador
  • paysuccessful[.]site — página de coleta de dados pessoais
  • molipy8trk[.]com — redirecionador
  • topprogressstores[.]online — página de destino da oferta final

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

Insetos
PixelSmash

A vulnerabilidade PixelSmash transforma arquivos de vídeo em ferramentas de ataque

Junho 24, 2026

Pesquisadores descobriram uma falha crítica no FFmpeg que poderia permitir que invasores usassem um arquivo de vídeo malicioso para comprometer sistemas vulneráveis.

Produto
Lobo em pele de cordeiro

Fique atento a golpes de renovação que se passam pela Malwarebytes

Junho 24, 2026

Golpistas estão enviando avisos falsos de renovação de software, alegando que foi cobrada uma assinatura. Alguns chegam até a se passar Malwarebytes.

Golpes
Um jovem sentou-se com a cabeça em uma das mãos e segurando um telefone na outra.

Total a todos os seus dispositivos.” Golpistas de sextorsão atacam novamente

Junho 24, 2026

Eles dizem que têm vídeos, malware e controle total sobre seus dispositivos. Veja aqui como analisar um e-mail de sextorsão como um pesquisador de segurança, em vez de como uma vítima.

Adicionar como fonte preferencial no Google

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes