Navegação do blog

Premium
Blog
Golpe Link Pagamento

Golpe do link de pagamento: como identificar e se proteger

Recebeu uma mensagem com link de pagamento? Cuidado, pode ser o golpe. Saiba como não cair na fraude.

Atualizado em: 23 de março de 2026

Categoria Premium Tempo de leitura: 20 minutos

Texto de: Time Serasa

O golpe do link de pagamento é uma das fraudes digitais mais comuns no Brasil. Criminosos enviam links que parecem legítimos, mas direcionam a vítima para páginas falsas ou cobranças fraudulentas.

Segundo dados da Serasa, o país registrou 6,9 milhões de tentativas de fraude no primeiro semestre de 2025, uma a cada 2,3 segundos. Bancos e cartões foram alvo de mais da metade dos casos, muitos deles envolvendo links maliciosos.

Saber identificar um link falso é a melhor forma de evitar prejuízos. Entenda como o golpe funciona, quais os sinais de alerta e o que fazer caso tenha clicado em um link suspeito.

Assista | GOLPE DA SERASA? É FAKE: entenda e SAIBA COMO se PROTEGER - Serasa Ensina

O que é o golpe do link de pagamento?

O link de pagamento é uma ferramenta legítima usada por lojas, prestadores de serviço e vendedores para cobrar clientes à distância. O vendedor gera uma cobrança em uma plataforma (como Mercado Pago, PagSeguro ou banco) e envia o endereço para o comprador pagar.

O problema é que golpistas usam essa mesma lógica para enganar as vítimas. Eles enviam links por SMS, WhatsApp, e-mail ou redes sociais, fingindo ser uma cobrança real. Ao clicar, a pessoa pode:

● ser direcionada para uma página falsa que rouba dados bancários e senhas;
● pagar uma cobrança fraudulenta, enviando dinheiro direto para o criminoso;
● instalar vírus ou aplicativos espiões no celular ou computador.

O golpe costuma usar nomes de empresas conhecidas, como bancos, operadoras ou lojas, para parecer confiável. A vítima acredita estar pagando uma conta real e só percebe a fraude depois.

Como os golpistas criam links maliciosos de pagamento?

Os criminosos usam diferentes técnicas para criar links que parecem legítimos. As mais comuns são:

1. Link de pagamento real, mas fraudulento

O golpista abre uma conta em plataformas como Mercado Pago ou PagSeguro usando CPF ou CNPJ falso. Depois, gera um link de pagamento verdadeiro, mas com descrição enganosa ("taxa de liberação", "frete reembolsável", "depósito de segurança").

Como o link é de uma plataforma conhecida, a vítima confia e paga. O dinheiro cai direto na conta do criminoso.

2. Página falsa que imita site oficial (phishing)

O golpista cria uma página idêntica à de um banco, loja ou plataforma de pagamento. O endereço do site é parecido com o original, mas com pequenas variações (por exemplo: "mercadopag0.com" em vez de "mercadopago.com.br").

A vítima insere login, senha ou dados do cartão achando que está no site verdadeiro. Com essas informações, o criminoso acessa a conta e faz transações.

3. Link com vírus ou aplicativo espião

Alguns links não levam a páginas de pagamento, mas instalam programas maliciosos no celular ou computador. Esses programas podem capturar senhas, dados bancários e até espelhar a tela do dispositivo.

Esse tipo de golpe costuma vir acompanhado de mensagens urgentes, como "atualize seus dados" ou "evite o bloqueio da sua conta".

Quais são os riscos de clicar em um link de pagamento falso?

Os prejuízos vão além da perda de dinheiro. Dependendo do tipo de golpe, a vítima pode enfrentar:

Perda financeira imediata

Se o link direciona para uma cobrança fraudulenta, o valor pago vai direto para a conta do golpista. Em pagamentos via Pix, a transferência é instantânea.

Roubo de dados bancários

Páginas falsas capturam login, senha, número do cartão e código de segurança. Com essas informações, o criminoso pode fazer compras, transferências ou até solicitar empréstimos em nome da vítima.

Clonagem de contas

Se a vítima digitar login e senha de plataformas como Mercado Pago, PicPay ou bancos digitais, o golpista pode acessar a conta e fazer transações como se fosse o titular.

Instalação de vírus e aplicativos espiões

Links maliciosos podem instalar programas que monitoram tudo que a pessoa faz no celular ou computador. Senhas, conversas e dados financeiros ficam expostos.

Uso indevido do CPF

Com os dados capturados, criminosos podem abrir contas, solicitar cartões ou contrair dívidas em nome da vítima. O problema pode demorar meses para ser descoberto.

Segundo pesquisa da Serasa realizada em fevereiro de 2026, 71% dos consumidores já deixaram de pagar uma dívida por medo de golpes ou fraudes. O receio é compreensível, mas saber identificar links falsos permite fazer pagamentos online com mais segurança.

Como saber se o link de pagamento é falso ou legítimo?

Antes de clicar ou pagar, alguns sinais ajudam a identificar se o link é confiável:

Verifique o endereço do site (URL)

Sites oficiais usam domínios conhecidos e padronizados. Desconfie de:

● endereços com letras trocadas ou números no lugar de letras (exemplo: "mercadopag0.com");
● domínios estranhos (exemplo: "mercadopago.pagamento-seguro.xyz");
● URLs muito longas com sequências de números e letras aleatórias.

Confira se o site tem HTTPS e cadeado

O "HTTPS" no início do endereço indica que a conexão é criptografada. O cadeado ao lado da URL mostra que o site tem certificado de segurança. Se faltar algum desses elementos, não insira dados.

Observe a aparência da página

Páginas falsas costumam ter:

● erros de português e formatação;
● logotipos com baixa qualidade ou cores diferentes;
● botões que não funcionam;
● ausência de informações de contato ou CNPJ.

Analise a mensagem recebida

Golpistas costumam criar urgência. Frases como "pague agora ou sua conta será bloqueada" ou "última chance para evitar juros" são sinais de alerta.

Confirme a cobrança por outro canal

Se receber um link de pagamento inesperado, entre em contato com a empresa por telefone ou site oficial antes de pagar. Não use os contatos informados na própria mensagem suspeita.

Cheque os dados do recebedor

Ao clicar no link, verifique se aparecem o nome e o CNPJ da empresa que deveria receber o pagamento. Se os dados não corresponderem, não finalize a transação.

Leia também | Como saber se um site é seguro

O que fazer se cair em um golpe de link de pagamento?

Se perceber que caiu em um golpe, agir rápido aumenta as chances de recuperar o dinheiro e reduzir os danos. Veja os passos:

1. Entre em contato com o banco ou instituição financeira

Avise imediatamente sobre a fraude. Se o pagamento foi via Pix, peça a abertura do MED (Mecanismo Especial de Devolução). O prazo para solicitar é de até 80 dias após a transação.

Se foi no cartão de crédito, solicite a contestação (chargeback). O banco abre uma disputa com a operadora e, se a fraude for confirmada, o valor poderá ser estornado na fatura.

2. Bloqueie cartões e troque senhas

Se inserir dados bancários ou de cartão no link falso, peça o bloqueio e a emissão de novos cartões. Troque as senhas de:

aplicativos de banco;
e-mail;
plataformas de pagamento (Mercado Pago, PicPay, etc.);
redes sociais.

3. Registre um boletim de ocorrência

O B.O. é importante para formalizar a fraude e pode ser exigido pelo banco na análise do MED ou chargeback. Em muitos estados, é possível registrar o B.O. pela Delegacia Virtual.

4. Guarde todas as provas

Salve prints da conversa, do link recebido, da página acessada e do comprovante de pagamento. Essas informações ajudam na investigação e na contestação junto ao banco.

5. Monitore seu CPF

Após um golpe, os dados podem ser usados para outras fraudes. Acompanhe se há movimentações estranhas, como consultas ao CPF ou tentativas de abertura de contas em seu nome.

Como identificar sinais de que o link de pagamento é seguro?

Enquanto links falsos apresentam sinais de alerta, os legítimos têm características que ajudam a confirmar a autenticidade. Antes de pagar, verifique se o link atende a esses critérios:

Checklist de segurança

● O endereço do site corresponde exatamente ao domínio oficial da empresa (exemplo: mercadopago.com.br, pagseguro.uol.com.br).
● A URL começa com "https://" e exibe o cadeado de conexão segura.
● A página mostra os dados completos do recebedor (nome, CNPJ ou CPF).
● O valor e a descrição do pagamento correspondem à compra ou serviço contratado.
● A comunicação chegou por um canal oficial da empresa (site, app ou número verificado).
● Não há pressão para pagar imediatamente nem ameaças de bloqueio.

Na dúvida, confirme de outra maneira

Se o link chegou por SMS, WhatsApp ou e-mail, acesse o site oficial da empresa diretamente pelo navegador, digitando o endereço, não clicando no link. Verifique se a cobrança existe de fato.

Empresas sérias não enviam links de pagamento sem contexto. Se não reconhecer a cobrança ou não tiver feito nenhuma compra recente, desconfie.

Como os golpistas pedem dados pessoais por meio de links falsos?

Os criminosos criam situações que parecem legítimas para convencer a vítima a fornecer informações. As táticas mais comuns são:

Formulários de cadastro falsos

A página imita o site de um banco ou loja e pede para "confirmar" dados como CPF, data de nascimento, nome da mãe, endereço e telefone. A vítima preenche achando que está atualizando um cadastro, mas está entregando informações para o golpista.

Telas de login falsas

O link abre uma página idêntica à de um banco digital ou plataforma de pagamento. A vítima digita e-mail e senha, que são capturados instantaneamente. Com esses dados, o criminoso acessa a conta verdadeira.

Solicitação de dados do cartão

Páginas falsas pedem número do cartão, validade e código de segurança (CVV) para "confirmar a identidade" ou "liberar um pagamento". Com essas informações, o golpista faz compras online em nome da vítima.

Pedido de selfie ou foto de documento

Alguns golpes mais sofisticados pedem que a vítima envie foto segurando o documento de identidade. Essas imagens podem ser usadas para abrir contas bancárias ou solicitar empréstimos fraudulentos.

Códigos de verificação por SMS

O golpista liga ou envia mensagem pedindo o código que chegou por SMS, alegando ser do banco ou de uma empresa. Esse código pode dar acesso à conta da vítima ou confirmar transações indevidas.

Em geral, as empresas não pedem senha, código de verificação ou dados completos do cartão por link, mensagem ou telefone. Qualquer solicitação nesse sentido deve ser tratada como suspeita.

Como cancelar um pagamento feito por link?

A possibilidade de cancelar depende do meio de pagamento e do momento em que a fraude foi identificada.

Pagamento via Pix

● Se ainda estiver agendado: é possível cancelar pelo aplicativo do banco antes da data e hora programadas.

● Se já foi concluído: não existe botão de cancelamento. A alternativa é solicitar o MED (Mecanismo Especial de Devolução) ao banco.

O MED permite pedir a devolução de valores enviados em situações de fraude. O pedido deve ser feito em até 80 dias após a transação. O banco do recebedor analisa o caso e, se ainda houver saldo na conta, pode bloquear e devolver o valor.

Para acionar o MED

1 - Entre em contato com o banco o mais rápido possível.
2 - Explique que foi vítima de golpe e forneça detalhes da transação.
3 - Registre um boletim de ocorrência para formalizar a fraude.
4 - Envie prints e provas do golpe, se solicitado.

Pagamento via cartão de crédito

Se o pagamento foi feito por cartão, é possível contestar a cobrança (chargeback). O processo funciona assim:

1 - Avise o banco ou emissor do cartão assim que identificar a fraude.
2 - Peça o bloqueio do cartão e a emissão de um novo, caso os dados tenham sido comprometidos.
3 - Envie provas da fraude (prints do link, conversa, anúncio, B.O.).
4 - A operadora abre disputa com a adquirente. Se a contestação for aceita, o valor é estornado na fatura.

O prazo e as regras para contestação variam conforme o banco e a bandeira do cartão. Quanto mais rápido o aviso, maiores as chances de sucesso.

Como a autenticação de dois fatores pode proteger suas transações?

A autenticação de dois fatores adiciona uma camada extra de segurança ao acesso de contas e aplicativos. Mesmo que um golpista consiga a senha, ele não consegue entrar sem o segundo fator de verificação.

Como funciona

Além da senha, o sistema exige uma segunda confirmação, que pode ser:

● código enviado por SMS ou e-mail;
● código gerado por aplicativo autenticador (Google Authenticator, Microsoft Authenticator);
● biometria (digital ou reconhecimento facial);
● confirmação por notificação no celular.

Por que ativar

● Se a senha for roubada em um link falso, o golpista ainda precisará do segundo fator para acessar a conta.
● Tentativas de login em dispositivos desconhecidos geram alertas imediatos.
● Transações financeiras podem exigir confirmação adicional antes de serem concluídas.

Onde ativar a autenticação de dois fatores

● Aplicativos de banco e plataformas de pagamento (Mercado Pago, PicPay, PagSeguro).
● E-mail (Gmail, Outlook, Yahoo).
● Redes sociais (WhatsApp, Instagram, Facebook).
● Lojas e marketplaces (Amazon, Mercado Livre).

A ativação geralmente fica em "Configurações" > "Segurança" ou "Privacidade". O processo leva poucos minutos e reduz significativamente o risco de invasão, mesmo que os dados sejam capturados em um golpe.

Proteja seus dados com o Serasa Premium

Golpes de link de pagamento podem resultar em roubo de dados pessoais e uso indevido do CPF. Monitorar essas informações ajuda a identificar problemas rapidamente e agir antes que o prejuízo aumente

O Serasa Premium é o serviço de assinatura da Serasa que monitora o CPF e o CNPJ do assinante 24 horas por dia e envia alertas em tempo real sobre consultas ao score de crédito, vazamento de dados na Dark Web, variação da pontuação do Serasa Score e muito mais. Além disso:
● Veja quais empresas consultaram seu CPF ou CNPJ.
● Bloqueie ou desbloqueie a visualização do seu score de crédito quando quiser.
● Saiba se seus dados estão seguros e fora da Dark Web.
● Conte com atendimento exclusivo para assinantes pelo número 0800 591 5161.
● Economize ao consultar CPF ou CNPJ de terceiros pelo Você Consulta.

Conhecer planos

Importante: a Serasa comunica previamente todos os consumidores sobre negativações em seu CPF, sem qualquer custo. O alerta de negativações do Serasa Premium é apenas uma funcionalidade adicional desse serviço, e não substitui o comunicado oficial.