Golpes, Inteligência de Ameaças

E-mails falsos sobre a renovação de domínios levam os proprietários de sites a pagar aos burlões

por Stefan Dasic | 25 de junho de 2026
Engenharia social
Adicionar como fonte preferencial no Google

Recebe um e-mail a avisá-lo de que o nome de domínio do seu site está prestes a expirar. «Renove agora», diz o e-mail, «ou o seu site e o seu e-mail poderão deixar de funcionar». O link abre uma página com um aspeto profissional que já identifica o seu nome de domínio, apresenta o seu registador e a data de expiração e inicia uma contagem decrescente.

Parece urgente e pessoal, por isso parece real.

O site, com a marca Renovarix, não renova domínios. Em vez disso, direciona os visitantes para uma série de páginas que recolhem informações pessoais e, por fim, dados de pagamento.

Renovação falsa de domínio

Como funciona o esquema

Os nomes de domínio expiram mesmo, e perder um pode ser um problema grave. Para muitas pessoas e empresas, um domínio é mais do que um endereço web. É a sua marca, o seu e-mail, as suas posições nos resultados de pesquisa e o nome que os clientes digitam quando querem encontrá-lo. Se o domínio expirar, o seu site e o seu e-mail podem deixar de funcionar. Se outra pessoa o registar antes de o recuperar, a recuperação pode ser difícil ou impossível. É muito a perder, e os burlões sabem disso.

Este esquema aproveita-se desse receio através de um processo de renovação falso, mas convincente.

O e-mail e o site são falsos. Os «dados de registo em tempo real» são apenas parcialmente verdadeiros. Clicar em «Renovar agora» não renova o seu domínio. Em vez disso, redireciona-o para uma série de sites que, primeiro, recolhem o seu nome, morada, número de telefone e e-mail e, por fim, solicitam os dados de pagamento.

Se tiver apagado o e-mail, não há motivo para preocupação. Se tiver clicado na ligação, basta fechar a página. Se tiver introduzido dados pessoais ou de pagamento, siga as instruções acima.

O e-mail que dá início a tudo

O esquema começa com um e-mail, embora a forma como se apresenta varie. Alguns são rudimentares: um simples «Lembrete de renovação de domínio» enviado por uma entidade genérica chamada «Domain Services Inc.», com um número de fatura e um montante a pagar.

E-mail falso de renovação

Outros são muito mais sofisticados, utilizando a marca Renovarix, um número de referência e um endereço comercial em Londres com ar respeitável.

E-mail falso de renovação

Mas há um pormenor em comum. O aviso «oficial» de renovação da Renovarix foi enviado a partir de um endereço normal do Gmail. É improvável que uma empresa que alega ter um escritório em Londres e apoio 24 horas por dia, 7 dias por semana, envie avisos de faturação a partir do Gmail. Quando a imagem da marca parece profissional, mas o remetente não condiz com isso, trata-se de um grande sinal de alerta.

Uma página que sabe demais

A ligação abre uma página que efetua imediatamente uma «pesquisa», descrevendo o seu progresso com mensagens como «a ligar-se ao registo» e «a obter registos WHOIS», antes de apresentar o seu nome de domínio, o registador e a data de validade.

Renovação falsa de domínio

Isso dá a impressão de que o site consultou o registo oficial de domínios. Algumas das informações podem provir de registos públicos genuínos, mas grande parte do que confere à página um ar de credibilidade é inventado. Por exemplo, o «ID de registo» apresentado não é obtido a partir de nenhum registo. É gerado localmente no seu navegador a partir do seu nome de domínio e existe apenas para parecer oficial.

Tudo foi concebido para te fazer entrar em pânico

Assim que esse painel carregar, toda a página transforma-se num funil concebido para o apressar.

Um banner vermelho afirma que o seu domínio expira dentro de «03 dias», independentemente da sua data de validade real. Uma segunda contagem decrescente indica que um «preço especial» de 2,00 €, com desconto de 9,99 €, expira dentro de quinze minutos. Se tentar fechar a página, surge uma janela pop-up com o aviso: «Espere — o seu domínio está em risco!», com um botão para fechar a janela que diz: «Não, obrigado, vou arriscar.»

Falsa urgência na renovação

Os registadores legítimos não recorrem a contadores regressivos nem a janelas pop-up que induzem a culpa. A pressão é que constitui a fraude.

A «renovação» não renova nada

Eis o sinal mais claro de que algo está errado: clicar em «Renovar agora» não contacta o seu registador nem processa a renovação. Limita-se a redirecionar o seu navegador para outro site.

Algumas versões chegam mesmo a apresentar uma mensagem de confirmação animada do tipo «Renovação concluída!», com uma nova data de validade, um número de confirmação e uma mensagem a indicar que foi enviado um recibo por e-mail. Nada disso reflete uma transação real. Tudo é gerado no seu navegador.

Para onde vão, na verdade, os seus dados

O botão redireciona-o, através de um link de afiliados de marketing, para uma página chamada «Secure Checkout».

Concluir a compra para recolher dados

A página pede o seu nome, morada, código postal, cidade, número de telefone e endereço de e-mail. Depois de enviar os dados, é redirecionado para páginas adicionais, onde, por fim, é solicitado o pagamento.

Concluir a compra para recolher dados

Dois detalhes sugerem que se trata de um kit de burla reciclado e não de um serviço de domínios genuíno. Consegue preencher automaticamente os seus dados a partir do link em que clicou, e as suas avaliações falsas de cinco estrelas ainda fazem referência ao «HappyPrizes» e à facilidade com que foi «ganhar algo giro» — texto remanescente de uma burla anterior relacionada com prémios que utilizava o mesmo modelo.

Porque é que as pessoas caem na armadilha

O esquema funciona porque tira partido de uma preocupação genuína. O esquema começa com uma premissa credível. As renovações de domínios são uma parte normal da gestão de um site, pelo que um aviso de expiração não parece fora do normal. Os burlões aproveitam isso com uma imagem de marca convincente, informação de domínio público e uma sensação de urgência criada artificialmente.

Também parece algo pessoal. Muitas pessoas perguntam-se como é que os burlões sabiam do seu domínio específico. A resposta é que eles não o conhecem pessoalmente. Todos os domínios registados aparecem nos registos públicos WHOIS/RDAP, que incluem o nome de domínio, o registador, datas importantes e, por vezes, um endereço de e-mail de contacto. Os burlões recolhem estas informações em massa e, em seguida, geram links que mostram os detalhes do seu próprio domínio. Ver informações familiares faz com que a página pareça legítima, mesmo que provenha de registos públicos.

Por fim, o esquema cria uma sensação de urgência. Contadores regressivos , avisos de que o seu domínio está em risco e uma «oferta especial» de 2,00 € foram todos concebidos para o levar a agir antes de parar para verificar a veracidade da afirmação. O preço baixo não é o objetivo. O que se pretende são os seus dados pessoais e os detalhes de pagamento.

Nada disto significa que a vítima seja descuidada. Significa apenas que é humana, tendo sido alvo de pessoas que sabem como reage um proprietário de site preocupado.

O que fazer

Se receber um e-mail como este, basta apagá-lo. A forma mais segura de tratar a renovação de qualquer domínio é simples:

  • Não clique no link do e-mail. Aceda ao seu registador através de um dos seus favoritos ou digitando o endereço manualmente e verifique aí a data de validade real. Se clicou no link, feche a página. O simples facto de a ver não coloca o seu domínio em risco.
  • Saiba quem é o seu registador. A renovação é feita na conta que já possui, e não num site de que nunca ouviu falar.
  • Encare a urgência como um sinal de alerta, não como um motivo para se apressar. As renovações verdadeiras não são emergências de quinze minutos.
  • Verifique o remetente. Os avisos de faturação provenientes de um endereço de Gmail ou com o nome de uma marca que não corresponda ao seu fornecedor real são sinais de alerta.
  • Malwarebytes Browser Guard é gratuito e pode ajudar a bloquear páginas fraudulentas e de phishing enquanto navega.

Se já introduziu dados pessoais (tais como o seu nome, morada, número de telefone ou endereço de e-mail):

  • Esteja preparado para tentativas de fraude posteriores. Os atacantes podem contactá-lo por telefone ou e-mail, alegando ser o seu registador ou fazendo referência ao seu domínio, a uma «encomenda» ou a uma «renovação».
  • Não confie em chamadas ou e-mails não solicitados, mesmo que pareçam conhecer detalhes sobre o seu domínio.
  • Se precisar de contactar o seu registador ou banco, utilize os dados de contacto disponíveis no site oficial destes, e não os fornecidos no e-mail ou na página fraudulenta.

Se introduziu os dados do cartão de pagamento:

Ative os alertas de transações para ser notificado assim que o seu cartão for utilizado.

Contacte imediatamente o seu banco ou a entidade emissora do cartão. Informe-os de que introduziu os dados do seu cartão num site fraudulento e pergunte se recomendam o bloqueio e a substituição do cartão, mesmo que ainda não tenha detetado quaisquer cobranças não autorizadas.

Acompanhe de perto a sua conta. Por vezes, os burlões efetuam pequenas cobranças «de teste» antes de tentarem transações de maior valor.

Indicadores de comprometimento

  • renovarix[.]org — página falsa de renovação de domínio
  • xe54ghj[.]com — redirecionador
  • paysuccessful[.]site — página de recolha de dados pessoais
  • molipy8trk[.]com — redirecionador
  • topprogressstores[.]online — apresentação da oferta final

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

Insectos
PixelSmash

A falha PixelSmash transforma ficheiros de vídeo em ferramentas de ataque

junho 24, 2026

Os investigadores descobriram uma falha crítica no FFmpeg que poderia permitir que os atacantes utilizassem um ficheiro de vídeo malicioso para comprometer sistemas vulneráveis.

Produto
Lobo em pele de cordeiro

Tenha cuidado com os esquemas fraudulentos de renovação que se fazem passar pela Malwarebytes

junho 24, 2026

Os burlões estão a enviar avisos falsos de renovação de software, alegando que lhe foi cobrada uma assinatura. Alguns chegam mesmo a fazer-se passar Malwarebytes.

Fraudes
Um jovem sentou-se com a cabeça apoiada numa mão e segurando um telemóvel na outra.

Total a todos os seus dispositivos.» Os golpistas de sextorsão voltam a atacar

junho 24, 2026

Dizem que têm vídeos, malware e controlo total sobre os teus dispositivos. Eis como analisar um e-mail de sextorsão como um investigador de segurança, em vez de como uma vítima.

Adicionar como fonte preferencial no Google

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes