Golpes em marketplaces e classificados: como comprar, vender e recuperar o dinheiro
Resposta rápida
Em marketplaces e classificados como OLX, Mercado Livre, Enjoei e Facebook Marketplace, a maioria das fraudes nasce ao tirar a negociação de dentro da plataforma. O golpista envia um falso comprovante de Pix, um link de "pagamento seguro" que imita a marca, ou um QR Code fora do sistema. Regra prática: só entregue o produto após confirmar o dinheiro na sua conta pelo app do banco, nunca pelo comprovante enviado pelo outro lado. Se você pagou por Pix, acione o MED no banco em até 80 dias.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›O outro lado insiste em sair do chat da plataforma para tratar tudo por WhatsApp, alegando que assim 'evita taxa' ou 'agiliza o pagamento'.
- ›Você recebe uma imagem ou PDF de comprovante de Pix, mas o valor não aparece no extrato do seu próprio aplicativo bancário.
- ›Chega um link de 'pagamento seguro' ou 'liberação de frete' que imita a marca do marketplace, mas o endereço do site não é o domínio oficial.
- ›Pedem que você escaneie um QR Code para 'receber' o pagamento — QR Pix sempre serve para pagar, nunca para receber.
- ›Há pressa artificial: o comprador diz que já enviou o motoboy, ou o vendedor afirma que outra pessoa vai levar o item se você não pagar agora.
- ›O preço está bem abaixo do mercado e o anúncio pede sinal, taxa de reserva ou pagamento antecipado fora da plataforma.
Passo a passo — o que fazer
- 1
1. Pare e confirme o dinheiro na fonte
Não entregue o produto nem libere nada com base em comprovante recebido por imagem ou mensagem. Abra o aplicativo do seu banco e confirme se o valor realmente caiu na sua conta. Comprovante não é dinheiro.
- 2
2. Reúna as provas antes que sumam
Tire prints do anúncio, da conversa completa, do perfil do golpista, do link recebido e do suposto comprovante. Salve URLs, números de telefone, chave Pix e dados bancários informados. Isso será essencial para o banco e para o boletim de ocorrência.
- 3
3. Acione o MED no seu banco se pagou por Pix
Se você transferiu por Pix e foi enganado, registre uma contestação pelo Mecanismo Especial de Devolução (MED) no app ou central do seu banco. O pedido deve ser feito em até 80 dias da transação; o banco bloqueia e tenta devolver o saldo que ainda estiver na conta do recebedor.
- 4
4. Conteste cartão ou boleto fraudulento
Se o pagamento foi por cartão de crédito, peça o chargeback à operadora ou ao banco emissor relatando a fraude. Boletos pagos a terceiros desconhecidos também devem ser reportados imediatamente ao banco.
- 5
5. Denuncie o anúncio e o perfil na plataforma
Use o canal de denúncia do próprio marketplace (OLX, Mercado Livre, Enjoei, Facebook Marketplace) para reportar o anúncio e o usuário. Plataformas têm programas de proteção e podem reembolsar quando a compra foi feita dentro do fluxo oficial.
- 6
6. Registre boletim de ocorrência
Faça o B.O. na delegacia eletrônica do seu estado ou em uma delegacia especializada em crimes cibernéticos. Anexe todas as provas reunidas. O número do registro costuma ser exigido pelo banco e pela plataforma para dar andamento.
- 7
7. Reporte links e QR Codes falsos
Encaminhe o link ou QR Code de 'pagamento seguro' falso para o CERT.br ([email protected]) e para o canal de phishing do banco cuja marca foi imitada. Isso ajuda a derrubar a página e a proteger outras vítimas.
- 8
8. Registre reclamação no Procon e Consumidor.gov.br
Se a plataforma não resolver, registre o caso no Procon do seu estado e na plataforma Consumidor.gov.br, do governo federal. Mantenha protocolos e prazos anotados para acompanhar a tratativa.
O que NÃO fazer
- ✕Não trate de pagamento fora do chat e do sistema oficial da plataforma, mesmo que o outro lado prometa desconto ou rapidez.
- ✕Não confie em comprovante de Pix recebido por imagem, PDF ou link — só vale o valor que você vê no extrato do seu próprio banco.
- ✕Não escaneie QR Code 'para receber' dinheiro: QR Pix gera pagamento, então quem escaneia paga, e não recebe.
- ✕Não clique em links de 'pagamento seguro', 'liberar frete' ou 'confirmar entrega' enviados em conversa privada; acesse o app oficial digitando o endereço você mesmo.
- ✕Não pague sinal, taxa de reserva ou frete antecipado a vendedores que você não consegue verificar dentro da plataforma.
Como funcionam os golpes em marketplaces e classificados
O denominador comum dessas fraudes é tirar a negociação do ambiente protegido da plataforma. Dentro de OLX, Mercado Livre, Enjoei ou Facebook Marketplace existem mecanismos de intermediação, retenção de pagamento e denúncia. Ao migrar a conversa para o WhatsApp ou outro canal privado, o golpista anula essas proteções e fica livre para improvisar.
No golpe contra o vendedor, o criminoso se passa por comprador interessado, combina a compra e envia um comprovante de Pix falsificado — uma imagem editada ou um PDF que imita o layout do banco. O vendedor, confiando no documento, entrega o produto ou libera o motoboy antes de checar o extrato. Variante comum: o falso comprador diz que pagou 'a mais' por engano e pede a devolução da diferença, somando o prejuízo.
No golpe contra o comprador, o falso vendedor anuncia um item com preço atraente e pede pagamento antecipado fora da plataforma, com a desculpa de evitar taxas. Outra técnica é enviar um link de 'pagamento seguro' que reproduz a identidade visual do marketplace ou do banco, mas hospedado em um domínio diferente do oficial, capturando dados de cartão ou redirecionando o Pix para a conta do criminoso.
Há ainda o golpe do QR Code: o fraudador pede que a vítima escaneie um código alegando que é para 'receber' o valor. Na prática, o QR Pix sempre representa uma cobrança — quem escaneia e confirma está pagando. Esse detalhe técnico é o que faz a armadilha funcionar contra quem não conhece o funcionamento do Pix.
Como comprar e vender com segurança nesses canais
Mantenha toda a negociação, o pagamento e a comunicação dentro da plataforma. Os programas de proteção ao comprador e ao vendedor só cobrem transações feitas pelo fluxo oficial; pagamentos combinados por fora ficam fora de qualquer garantia. Desconfie de quem insiste em sair do chat.
Como vendedor, a regra é única: só entregue o produto depois de ver o dinheiro no extrato do seu próprio banco. Abra o aplicativo bancário e confira o saldo — nunca aceite a imagem de comprovante enviada pelo comprador como prova de pagamento. Comprovantes são triviais de falsificar.
Como comprador, prefira pagamento e entrega intermediados pela plataforma, com rastreio. Em encontros presenciais, escolha locais públicos e movimentados, teste o produto antes de pagar e jamais escaneie QR Code apresentado pelo vendedor sob a alegação de que serve para receber. Verifique a reputação, o histórico e a data de criação do perfil antes de fechar negócio.
Se a sua empresa atua nesses canais — seja uma loja oficial, seja um time comercial que negocia por marketplaces —, esse mesmo conjunto de fraudes pode ser usado contra a sua marca: perfis falsos imitando sua loja, anúncios clonados e links de pagamento que abusam da sua identidade visual. A Decripte mantém um plano gratuito de Gestão de Ameaças que monitora o uso indevido da marca e perfis falsos; vale conhecer antes que um golpista use o nome do seu negócio para enganar clientes.
Cuida da segurança de uma empresa?
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraJá caiu no golpe? Como tentar recuperar o dinheiro
A velocidade é decisiva. Se o pagamento foi por Pix, o caminho é o Mecanismo Especial de Devolução (MED), criado pelo Banco Central justamente para casos de fraude e falha operacional. Você abre a contestação pelo aplicativo ou central do seu banco, e a instituição do recebedor tem a obrigação de analisar e bloquear o saldo que ainda existir na conta de destino. O pedido precisa ser feito em até 80 dias da transação.
O MED não garante a recuperação total: se o golpista já transferiu o dinheiro adiante, pode não restar saldo a devolver. Por isso, registrar a contestação nas primeiras horas aumenta muito a chance de recuperar o valor. Para pagamentos por cartão de crédito, o equivalente é o chargeback, solicitado à operadora ou ao banco emissor.
Em paralelo, registre o boletim de ocorrência, denuncie o anúncio e o perfil na plataforma e acione o programa de proteção do marketplace quando a compra tiver sido feita dentro do fluxo oficial. Se não houver acordo, leve o caso ao Procon e ao Consumidor.gov.br. Guarde todos os protocolos: eles documentam que você agiu de boa-fé e dentro do prazo.
Quando o golpe usa a marca do marketplace: o lado das empresas
As mesmas fraudes contra pessoas físicas têm uma dimensão corporativa direta. Criminosos registram domínios parecidos com os de marketplaces e bancos, copiam logotipos e layouts e montam páginas de 'pagamento seguro' para capturar dados. Esse abuso de marca, conhecido como brand abuse, mancha a reputação da empresa imitada e gera prejuízo a clientes que confiavam naquele nome.
Lojas e marcas que vendem por marketplaces também enfrentam perfis falsos: contas que se passam pela loja oficial, clonam descrições e fotos de produtos e desviam compradores para fora da plataforma. Quanto antes esses perfis e domínios são identificados e derrubados, menor o número de vítimas e o desgaste da marca.
Para uma empresa, defender-se exige monitoramento contínuo de domínios semelhantes, perfis em redes sociais e marketplaces, e páginas de phishing que usam a sua identidade. É um trabalho de inteligência de ameaças que vai além do que uma pessoa física consegue acompanhar manualmente, e que protege ao mesmo tempo a reputação do negócio e a segurança dos clientes.
Como a Decripte ajuda empresas a combater fraude de marca e perfis falsos
A Decripte é uma empresa brasileira de cibersegurança B2B que atende organizações de portes muito diferentes — de pequenos negócios a operações com mais de 100.000 colaboradores. Nosso foco é dar visibilidade sobre as ameaças que circulam fora do perímetro da empresa, como domínios falsos, perfis fraudulentos e abuso de marca em marketplaces e redes sociais.
Oferecemos um plano gratuito de Gestão de Ameaças, pensado para que qualquer empresa comece a monitorar o uso indevido da sua marca sem custo inicial. A plataforma ajuda a identificar perfis falsos que se passam pela sua loja, anúncios clonados e páginas que imitam sua identidade visual, agilizando os pedidos de remoção.
Se a sua empresa vende por marketplaces ou tem a marca explorada por golpistas que enganam consumidores, conhecer e ativar a Gestão de Ameaças da Decripte é um passo concreto para reduzir o brand abuse e proteger seus clientes da mesma engenharia social descrita neste artigo.
Termos importantes
- MED (Mecanismo Especial de Devolução)
- Ferramenta criada pelo Banco Central que permite contestar um Pix feito por fraude ou erro. O banco do recebedor pode bloquear e devolver o saldo ainda disponível; o pedido deve ser feito em até 80 dias da transação.
- Falso comprovante de Pix
- Imagem ou PDF editado que imita o comprovante de uma transferência que nunca ocorreu. Só vale como prova de pagamento o valor efetivamente creditado no extrato do recebedor, verificado no aplicativo do próprio banco.
- Brand abuse (abuso de marca)
- Uso indevido do nome, logotipo e identidade visual de uma empresa por terceiros, em domínios falsos, perfis fraudulentos ou páginas de phishing, para enganar consumidores e lesar a reputação da marca.
- Chargeback
- Contestação de uma compra paga com cartão de crédito junto à operadora ou ao banco emissor. Em casos de fraude comprovada, a cobrança pode ser cancelada e o valor estornado ao titular.
Perguntas frequentes
Recebi um comprovante de Pix do comprador. Posso entregar o produto?
Não com base no comprovante. Abra o aplicativo do seu banco e confirme se o valor realmente caiu na sua conta. Comprovantes em imagem ou PDF são facilmente falsificados; só o extrato do seu banco prova que o dinheiro entrou.
Por que pedem para eu escanear um QR Code 'para receber' o pagamento?
Porque é golpe. O QR Code do Pix sempre representa uma cobrança: quem escaneia e confirma está pagando, não recebendo. Se alguém pede que você leia um QR para 'receber', está tentando fazer você transferir dinheiro para a conta dele.
Paguei por Pix e fui enganado. Consigo o dinheiro de volta?
É possível pelo MED, o Mecanismo Especial de Devolução do Banco Central. Registre a contestação no app ou na central do seu banco em até 80 dias. O banco do recebedor tenta bloquear e devolver o saldo que ainda existir na conta de destino, mas a recuperação não é garantida se o valor já tiver sido transferido adiante.
O golpista insistiu em fechar negócio pelo WhatsApp. Isso é seguro?
É um sinal de alerta. Sair do chat da plataforma anula os programas de proteção ao comprador e ao vendedor e a possibilidade de denúncia interna. Mantenha negociação, pagamento e comunicação dentro do sistema oficial do marketplace.
Como sei se o link de 'pagamento seguro' é verdadeiro?
Confira o endereço do site. Páginas falsas imitam o logotipo e o layout do marketplace ou do banco, mas usam um domínio diferente do oficial. Não clique em links recebidos em conversa privada; acesse a plataforma digitando o endereço oficial você mesmo ou pelo aplicativo.
A plataforma é obrigada a me reembolsar?
Depende. Os programas de proteção de OLX, Mercado Livre, Enjoei e Facebook Marketplace costumam cobrir compras feitas dentro do fluxo oficial, com pagamento intermediado. Negociações fechadas por fora, em pagamento direto, ficam fora dessas garantias. Denuncie o anúncio e o perfil de qualquer forma.
Onde denuncio o anúncio falso e o link fraudulento?
Use o canal de denúncia da própria plataforma para reportar anúncio e perfil. Encaminhe links e QR Codes falsos ao CERT.br ([email protected]) e ao canal de phishing do banco cuja marca foi imitada. Registre também boletim de ocorrência e, se preciso, reclamação no Procon e no Consumidor.gov.br.
Sou lojista e descobri perfis falsos usando o nome da minha loja. O que faço?
Reúna prints e URLs, peça a remoção pelos canais das plataformas e monitore continuamente o uso indevido da marca. A Decripte oferece um plano gratuito de Gestão de Ameaças que ajuda a identificar perfis falsos, anúncios clonados e domínios que abusam da sua identidade visual.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.
