Golpes, Inteligência de Ameaças

No seio de uma rede com mais de 20 000 lojas falsas

por Stefan Dasic | 18 de março de 2026
Lojas falsas clonadas

Identificámos uma vasta rede de lojas falsas com mais de 20 000 domínios, dezenas de endereços IP partilhados e páginas de loja idênticas com nomes diferentes sobrepostos. Existem com um único objetivo: roubar os seus dados de pagamento e informações pessoais. O fio condutor que as une a todas é um título de separador do navegador que a maioria das pessoas nem sequer notaria:«Seleção inigualável só para si.»

Montras reluzentes, armazéns vazios

As lojas falsas são sites fraudulentos concebidos para se parecerem com retalhistas online legítimos. Apresentam listas de produtos, logótipos de marcas, avaliações de clientes, carrinhos de compras e páginas de finalização de compra com um aspeto funcional. No entanto, nunca cumprem o que prometem. Em alguns casos, as vítimas não recebem absolutamente nada. Noutros, recebem uma imitação barata que vale apenas uma fração do preço anunciado.

Seja como for, o produto que está a ser vendido são os seus dados: estas lojas falsas recolhem as suas credenciais de pagamento, endereços de faturação e dados pessoais e, em seguida, revendem-nos em mercados criminosos ou utilizam-nos diretamente para cometer fraude de identidade.

A dimensão do problema disparou. De acordo com dados recentes de inteligência sobre ameaças, os esquemas fraudulentos envolvendo lojas online falsas aumentaram 790 % no primeiro trimestre de 2025, em comparação com o mesmo período do ano anterior, impulsionados, em parte, pela ansiedade económica em torno das tarifas comerciais, que levou os consumidores a procurar alternativas mais baratas.

Só durante a época festiva de 2024, os investigadores identificaram mais de 80 000 lojas falsas, muitas das quais desapareceram ou mudaram de nome em poucos dias. Dados de telemetria do setor, recolhidos no final de 2025, revelaram que as lojas falsas representavam 65 % de todas as ameaças bloqueadas nas redes sociais, YouTube Facebook YouTube principais plataformas de lançamento.

Estas operações estão cada vez mais industrializadas. Recentemente, os investigadores documentaram o FraudWear, uma campanha coordenada que envolve mais de 30 000 lojas fraudulentas que se fazem passar por mais de 350 marcas de moda em todo o mundo.

Outra investigação revelou a existência da BogusBazaar, uma rede em formato de franquia na qual uma equipa central se encarregava da manutenção dos servidores, do processamento de pagamentos e da infraestrutura de modelos, enquanto operadores descentralizados criavam lojas individuais sobre essa base. Essa rede processou mais de um milhão de encomendas em 75 000 domínios desde 2021.

As lojas falsas têm sucesso porque exploram comportamentos de compra familiares: clicar em anúncios, seguir resultados de pesquisa e aceder a sites com um aspeto apelativo. Além disso, exercem pressão psicológica através de ofertas por tempo limitado, contadores regressivos e avisos de stock a esgotar.

A mesma loja, nomes diferentes

Ao investigar domínios de comércio eletrónico suspeitos, identificámos um conjunto de mais de 20 000 sites que partilham padrões de infraestrutura comuns.

A maioria utilizou o domínio de nível superior (TLD) .shop, que se tornou um dos preferidos dos burlões graças às taxas de registo baratas e a um nome que parece credível. A extensão .shop figura agora entre os principais TLDs associados a spam e atividades maliciosas, de acordo com os dados de segurança de e-mail da Cloudflare.

Ao analisar o código-fonte da página, descobri o que une estes sites. Todos funcionam com o WordPress e são alimentados pela Sellvia, uma plataforma de comércio eletrónico legítima sediada nos EUA que permite aos utilizadores criar rapidamente uma loja de dropshipping com modelos pré-definidos, catálogos de produtos e processamento de pagamentos.

As lojas online reutilizam os temas da Sellvia e obtêm as imagens dos produtos a partir da sua rede. Os seis modelos «diferentes» que observámos são, na verdade, apenas dois temas base com variações estéticas. Aqui estão alguns exemplos, apresentados em pares para ilustrar como o mesmo modelo aparece sob marcas completamente diferentes.

Imagem à esquerdaImagem direita
Imagem à esquerdaImagem direita
Imagem à esquerdaImagem direita
Imagem à esquerdaImagem direita
Imagem à esquerdaImagem direita
Imagem à esquerdaImagem direita

20 000 domínios, 36 endereços IP

Para além das semelhanças visuais, estas lojas falsas partilham uma infraestrutura comum. Todos os mais de 20 000 domínios remetem para um conjunto de apenas 36 endereços IP.

Esse nível de concentração não é habitual entre os retalhistas online legítimos. É uma característica distintiva das operações de fraude em grande escala, nas quais um grupo gere os servidores e os modelos, enquanto operadores individuais criam domínios a partir daí.

Grande parte desta atividade concentra-se num pequeno número de intervalos de IP, incluindo blocos nos intervalos 207.244.x.x e 23.105.x.x. Esta concentração aponta para uma preferência por determinados fornecedores de alojamento e para uma configuração concebida para a rapidez: criar um domínio, aplicar um modelo e colocar online.

Isto reflete o modelo de tipo «franquia» observado noutras redes de lojas falsas. Um grupo central gere os servidores, os modelos e a configuração dos pagamentos, enquanto os operadores registam domínios e lançam lojas virtuais sobre essa base. Quando um site é sinalizado ou retirado do ar, outro ocupa o seu lugar.

Mas essa mesma concentração constitui também um ponto fraco. Basta afetar um pequeno número de servidores para deixar milhares de sites fora de serviço.

Como proteger-se de lojas falsas

Estas lojas falsas não são negócios independentes. Fazem parte de grandes operações repetidas, concebidas para parecerem convincentes, agirem rapidamente e desaparecerem com a mesma rapidez.

Se um site lhe parecer estranho, apressado ou bom demais para ser verdade, trate-o como tal. Alguns segundos a mais a verificar podem evitar que entregue o seu dinheiro e os seus dados a cibercriminosos.

  • Utilize a proteção do navegador. Ferramentas como Malwarebytes Browser Guard podem bloquear sites fraudulentos conhecidos antes mesmo de chegar à página de checkout.
  • Verifique o domínio com atenção. Tenha cuidado com terminações desconhecidas como .shop, .top, .store e .xyz, especialmente quando associadas a nomes genéricos que parecem ser de marcas. Se nunca ouviu falar do retalhista, esse é o seu primeiro sinal de alerta.
  • Desconfie de descontos muito elevados. Se um artigo estiver esgotado em todos os outros sítios, mas com um grande desconto num sítio desconhecido, trata-se de uma isca.
  • Esteja atento a lojas que parecem ter sido copiadas e coladas. Se vários sites apresentarem layouts, imagens de produtos e banners idênticos, mas com nomes diferentes, é provável que estejam a utilizar o mesmo modelo. As lojas legítimas não funcionam assim.
  • Procure opiniões independentes. Pesquise o nome da loja com termos como «opinião» ou «burla». Se os únicos resultados forem o próprio site, isso diz-lhe alguma coisa.
  • Não ignore os seus instintos. Se algo lhe parecer suspeito, pare. Não introduza os seus dados de pagamento só para «ver o que acontece».
  • Utilize métodos de pagamento mais seguros. Os cartões de crédito oferecem maior proteção do que os cartões de débito. Os cartões virtuais ou os serviços de pagamento podem criar uma camada adicional de proteção entre os seus dados e o vendedor.

Dica profissional: Malwarebytes bloqueia estes domínios por serem fraudulentos.

Indicadores de compromisso (IOCs)

Endereços IP

  • 108.59.1.151
  • 108,59,12,118
  • 108,59,14,13
  • 108,59,8,97
  • 108.62.0.220
  • 108,62,116,82
  • 108.62.117.45
  • 162.210.195.105
  • 162.210.195.113
  • 162.210.198.37
  • 162.210.199.12
  • 162.210.199.183
  • 162.210.199.235
  • 192.96.200.81
  • 198.7.58.168
  • 198.7.58.87
  • 199.115.115.2
  • 207.244.102.13
  • 207.244.109.109
  • 207.244.126.106
  • 207.244.126.19
  • 207.244.126.21
  • 207.244.67.158
  • 207.244.69.201
  • 207.244.71.143
  • 207.244.89.198
  • 207.244.91.203
  • 23,105,160,43
  • 23.105.172.14
  • 23/105/8/15
  • 23/105/8/17
  • 23/105/8/19
  • 23/08/2011
  • 23,82,13,161
  • 23,82,13,34
  • 5,79,69,45

Não nos limitamos a informar sobre as burlas - ajudamos a detectá-las

Os riscos de cibersegurança nunca devem ir além de uma manchete. Se algo lhe parecer suspeito, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de ecrã, cole o conteúdo suspeito ou partilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

Fraudes
Site falso do Pudgy World

O site falso «Pudgy World» rouba as suas palavras-passe de criptomoedas

março 17, 2026

O site de phishing não está associado à Igloo Inc. nem aos Pudgy Penguins, mas foi concebido para atrair fãs e roubar as suas palavras-passe de criptomoedas.

Telemóvel
Um cavalo de Tróia sobre rodas invade o ecrã de um smartphone

O Google toma medidas contra Android que abusam das funcionalidades de acessibilidade

março 17, 2026

Há anos que o malware tem vindo a abusar das funcionalidades de acessibilidade Android. A Google acaba de tornar isso muito mais difícil.

Privacy
Sites comprometidos

Sites pirateados distribuem o Vidar, um programa de roubo de informações, aos Windows

março 16, 2026

Encontrámos páginas falsas do tipo «verifique se é humano» em sites WordPress pirateados que induzem Windows a instalar o programa de roubo de informações Vidar.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes