Como Investigar Lojas Virtuais: Guia Prático para Não Cair em Golpes Online

O que você vai aprender neste aulão

Como investigar lojas virtuais é a pergunta que separa quem compra com segurança de quem vira estatística de golpe. Neste aulão, eu mostro na prática — ao vivo, com sites reais enviados pelo público — como desmascarar lojas fraudulentas usando ferramentas gratuitas que qualquer pessoa pode acessar.

Eu não estive sozinho nessa investigação. O Ulisses da Nóbrega, agente da Polícia Civil do DF com 19 anos de experiência em crimes cibernéticos, participou do aulão inteiro. Juntos, investigamos lojas enviadas pelos espectadores no chat, abrimos sites ao vivo, consultamos CNPJ na Receita Federal, verificamos endereços no Google Maps e até simulamos uma compra para testar o atendimento de um site suspeito.

Depois de assistir (ou ler este artigo), você vai conseguir:

• Consultar o Whois de qualquer domínio e interpretar os dados
• Cruzar informações de CNPJ, endereço e razão social para encontrar inconsistências
• Usar o teste do cliente falso para confirmar suspeitas
• Descobrir redes inteiras de golpe a partir de um único email vazado
• Denunciar e derrubar sites fraudulentos
• Acionar o MED do Banco Central para tentar recuperar dinheiro perdido via Pix

Vou mostrar como um único email vazado revelou mais de 50 domínios de golpe conectados ao mesmo criminoso. E não é teoria — aconteceu ao vivo, durante o aulão.

Como identificar se uma loja virtual é falsa

Uma loja virtual falsa se identifica pelo cruzamento de informações públicas: dados do domínio, CNPJ, endereço físico e comportamento no atendimento. Nenhum desses sinais isoladamente confirma fraude, mas a soma deles forma um diagnóstico preciso.

O primeiro erro que a maioria das pessoas comete é confiar no cadeado HTTPS. Aquele ícone de cadeado no browser não garante que o site é confiável — ele indica apenas que a conexão entre você e o servidor é criptografada. Um golpista pode (e vai) ter certificado SSL no site dele. É gratuito e leva 5 minutos para configurar.

A segunda armadilha são os selos de segurança falsos. Durante o aulão, analisamos sites que exibiam selos do Google Safe Browsing, Norton e SiteLock — todos falsos. Eram imagens estáticas, sem link de verificação. Um selo verdadeiro, quando clicado, abre uma página de verificação no site da empresa certificadora. Se você clicar e nada acontecer, o selo é decoração.

Comparamos o layout de sites suspeitos com o da Magazine Luiza, que é referência em e-commerce no Brasil. As diferenças saltam aos olhos: lojas legítimas têm footer completo com CNPJ, razão social, endereço, canais de atendimento, políticas de troca. Lojas fraudulentas têm rodapés vagos ou copiados de outros sites — no caso da Brasil Usados, o rodapé dizia "JM" enquanto o nome da loja era outro.

Se você quer se aprofundar em técnicas para descobrir quem está por trás de qualquer site, eu dediquei um Aulão #7 — Como Descobrir o Dono de um Site inteiro a esse tema.

Whois: a primeira consulta que você deve fazer antes de comprar

O Whois é uma consulta pública que revela quem registrou um domínio, quando e com qual documento. Para domínios .br, a consulta é feita no Registro.br e mostra CPF ou CNPJ do proprietário.

Eu demonstrei isso ao vivo com 6 sites diferentes. O primeiro foi a Magazine Luiza: domínio registrado desde 1999. Como eu disse na aula: "se você pega um site de 99 fraudulento até hoje no ar, é muito difícil." Já os sites suspeitos que o público enviou tinham 2 meses, 8 meses, uma semana de existência.

Como interpretar os dados do Whois

Quando você consulta um domínio no Registro.br, preste atenção em quatro pontos:

1. Data de criação — domínios com menos de 6 meses vendendo produtos caros são alerta vermelho
2. Data de expiração — se vence em poucos meses e não foi renovado, o dono não pretende manter o site
3. CPF/CNPJ do proprietário — domínios .br exigem documento brasileiro. Compare com o CNPJ da loja
4. Nome do proprietário — se o nome no Whois não bate com a razão social, investigue mais

Um caso que investigamos ao vivo: a loja Brasil Usados tinha no Whois o nome "Alexila" e a razão social "Caleb Equipamentos Industriais". Mas no site, o nome era "Brasil Usados" e no rodapé aparecia "JM". Três nomes diferentes para a mesma loja. Nenhuma empresa legítima opera com essa confusão de identidades.

A limitação dos domínios .com

Domínios .com (sem o .br) podem ter privacidade no Whois. Isso significa que os dados do proprietário ficam ocultos atrás de um serviço de proxy. O Ulisses explicou que hoje essa privacidade é gratuita na maioria dos registradores. Mas calma — mesmo com privacidade ativada, existem formas de contornar isso, como veremos na seção sobre dados vazados.

Se você quer aprender a automatizar consultas Whois com programação, eu ensinei isso passo a passo no Aulão #25 — Programação do Zero para Investigação Digital.

Como verificar o CNPJ de uma loja online na Receita Federal

A consulta de CNPJ na Receita Federal é gratuita e revela a razão social, situação cadastral, endereço e atividade econômica da empresa. Basta acessar o portal da Receita Federal e digitar o número.

No aulão, investigamos o CNPJ da Brasil Usados. O resultado? A razão social era "JM Móveis Usados", cadastrada há 8 meses, já tinha mudado de nome uma vez. A atividade econômica era "Comércio JM" — nada a ver com o nome do site.

O que verificar no resultado da consulta

Quando fizer a consulta, compare cinco informações:

• Razão social vs nome da loja no site — devem ser compatíveis
• Situação cadastral — deve estar "Ativa". CNPJ inapto ou baixado é fraude confirmada
• Endereço — anote para verificar no Google Maps (próximo passo)
• Data de abertura — empresas abertas recentemente para vender online são suspeitas
• Atividade econômica (CNAE) — uma empresa de "consultoria" vendendo eletrônicos não faz sentido

Mas atenção: CNPJ pode ser de laranja. Como o Ulisses explicou, golpistas recrutam pessoas em situação vulnerável para emprestar documentos e abrir empresas. "Eu posso ter um laranja, uma pessoa que empresta os documentos para que seja aberto isso daí. Isso acontece demais." Por isso, o CNPJ sozinho não é prova definitiva — é uma peça do quebra-cabeça.

Você também pode pesquisar o CNPJ no JusBrasil para ver se a empresa tem processos judiciais, e no Serasa para verificar protestos e pendências financeiras. Se a empresa de 8 meses já tem processos de consumidores reclamando de golpe, a conclusão é clara. E JusBrasil mostrou exatamente isso em um dos casos que investigamos ao vivo.

Para mais técnicas sobre como investigar crimes digitais e golpes na internet, confira o Aulão #19 — Crimes Digitais e Golpes na Internet.

Endereço da loja no Google Maps: o teste que ninguém faz

O Google Maps com Street View permite verificar se o endereço informado pela loja corresponde a um estabelecimento comercial real. A maioria dos compradores nunca faz essa verificação — e é exatamente aí que os golpistas se aproveitam.

Durante o aulão, verificamos o endereço de várias lojas suspeitas. Uma delas informava um endereço que, no Google Maps, era uma casa residencial pequena num bairro sem comércio. Outra tinha um endereço numa travessa que só ia até o número 16, mas o endereço da loja era número 18 — simplesmente não existia.

Passo a passo da verificação

1. Copie o endereço do site da loja (geralmente no rodapé ou na página "Sobre")
2. Cole no Google Maps e ative o Street View
3. Verifique se o local parece um estabelecimento comercial compatível com o que a loja vende
4. Compare o nome na fachada (se visível) com o nome da loja

A Isadora, que estava no chat, fez uma pergunta válida: "Mas nada garante que esse endereço é da loja mesmo." Exato. O endereço pode ser falso. Mas se você pesquisa e encontra uma casa residencial, uma lavanderia ou um terreno baldio, já tem informação suficiente para desconfiar.

Essa técnica complementa o que eu ensinei no Aulão #8 — Google Hacking e Buscas Avançadas, onde mostro como usar operadores de busca avançada para encontrar informações que sites tentam esconder.

Teste do cliente falso: simule uma compra antes de pagar

O teste do cliente falso consiste em se passar por um comprador interessado e avaliar o comportamento da loja no atendimento. É uma forma de engenharia social aplicada à defesa do consumidor — e funciona muito bem.

No aulão, fizemos esse teste ao vivo. Entramos em contato com uma loja suspeita e simulamos interesse em comprar. O resultado foi revelador: o produto custava R$2.400 na loja, mas o Pix veio no valor de R$1.080. Desconto de mais de 50% pago exclusivamente por Pix. E o nome no Pix era "Robson" — diferente do nome da empresa.

Sinais de alerta no atendimento

Ao fazer o teste do cliente falso, observe estes sinais:

• Pressão para pagar via Pix — golpistas preferem Pix porque é instantâneo e difícil de reverter
• Nome diferente no Pix — se o Pix é em nome de pessoa física e a loja é de pessoa jurídica, desconfie
• Desconto absurdo para pagamento à vista — "quando você vê um produto que custa R$2.400 e vai pagar R$1.000, você acha que tá fazendo um excelente negócio. E aí você baixa sua guarda"
• Sem nota fiscal — loja que não emite NF-e não é loja
• Pix dinâmico — um QR Code diferente para cada transação, dificultando rastreamento

Eu e o Ulisses alertamos sobre uma coisa que parece óbvia mas acontece o tempo todo: mais de 300 pessoas pagaram R$40 para um golpista que se passava por mim no WhatsApp, vendendo o curso "Apocalipse Digital". As pessoas queriam economizar e baixaram a guarda. Preço bom demais é o anzol do golpe.

Se você quer entender melhor como a engenharia social funciona em investigações, eu aprofundei esse tema no Aulão #21 — Engenharia Social em Investigações.

Domínios vazados: como um email revela 50 sites de golpe

Bases de dados vazados podem revelar informações que o golpista tentou esconder com privacidade de domínio. Um único email vazado pode conectar dezenas de sites fraudulentos operados pela mesma pessoa.

Enquanto o Ulisses explicava outra técnica, eu fiz uma busca paralela nos bastidores. O domínio da Brasil Usados tinha um vazamento que revelou o email calebequipamentos@gmail.com — um email que o proprietário usou para registrar o domínio com privacidade ativada. Não aparecia na consulta Whois normal, mas estava em bases vazadas.

O que eu encontrei com esse email

A partir do calebequipamentos@gmail.com, encontrei mais de 50 domínios registrados pela mesma pessoa:

• Brasil Usados
• Caleb Equipamentos
• Stories Eletros
• Grupo Máquinas
• Compre Seu Equipamento
• E dezenas de outros com nomes genéricos de "lojas"

Todos com o mesmo padrão: nomes diferentes, mesma operação, mesma infraestrutura de golpe.

E Ulisses confirmou: não parou aí. Esse email estava associado a um número de telefone que tinha uma conta no Instagram. "Isso é muito bom para polícia, por exemplo", como eu expliquei ao vivo. É o tipo de informação que transforma uma suspeita em investigação policial formal.

Esse tipo de pivot — partir de um dado e chegar a uma rede inteira — é a base da investigação digital. Eu mostrei técnicas parecidas no Aulão #29 — Contra-Atacando Golpistas na Internet e também no Aulão #9 — Vazamentos de Dados e Senhas.

ABR Telecom: identificando a operadora de números suspeitos

A ABR Telecom é uma ferramenta gratuita que identifica a operadora de qualquer número de telefone no Brasil, incluindo histórico de portabilidade.

Quando você descobre um número de telefone associado a um site suspeito (via Whois, vazamento ou contato com a loja), consultar a operadora ajuda a entender o perfil do golpista. Números VoIP (de operadoras virtuais), por exemplo, são mais fáceis de descartar. Números que passaram por várias portabilidades recentes podem indicar tentativa de dificultar rastreamento.

Para consultar, basta acessar o site, digitar o número com DDD e resolver o captcha. O resultado mostra a operadora atual e se houve portabilidade.

Como denunciar e derrubar uma loja virtual fraudulenta

Sites fraudulentos podem ser denunciados ao registrador de domínio, ao provedor de hospedagem e ao Google, resultando na remoção ou bloqueio do site. O processo é mais rápido do que a maioria das pessoas imagina.

Eu cobri esse tema no aulão porque é uma parte que poucos ensinam. Todo mundo fala "como identificar golpe", mas quase ninguém explica o que fazer para tirar o site do ar. E isso é importante: enquanto o site estiver ativo, mais pessoas vão cair.

Passos para derrubar um site fraudulento

1. Denuncie ao Google Safe Browsing — acesse safebrowsing.google.com e reporte a URL. Se aceito, o Google mostra um aviso vermelho para qualquer pessoa que tentar acessar o site
2. Denuncie ao registrador de domínio — para domínios .br, entre em contato com o Registro.br. Para domínios internacionais, identifique o registrador via Whois e envie abuse report
3. Denuncie ao provedor de hospedagem — a maioria dos provedores tem email abuse@ para esse tipo de denúncia
4. Registre boletim de ocorrência — na delegacia virtual do seu estado. Inclua prints, URLs e toda evidência coletada
5. Denuncie no PROCON — o PROCON-SP aceita denúncias online de sites falsos

Técnicas mais avançadas de takedown eu demonstrei no Aulão #16 — Investigando E-mails Fraudulentos, onde mostrei o processo completo do cabeçalho suspeito até a remoção do site.

Mas o Ulisses fez um alerta realista: "quando cai um, volta outro." Golpistas criam novos domínios constantemente. É por isso que eu repeti ao longo do aulão: "nós precisamos formar um exército de investigadores, porque existe um exército de golpistas e a gente tá muito atrás."

O que fazer se você já caiu no golpe

Se você já foi vítima, o primeiro passo é agir rápido: acionar o MED do Banco Central, registrar BO e coletar todas as evidências antes que o golpista apague os rastros.

Mecanismo Especial de Devolução (MED) do Pix

O MED é um mecanismo do Banco Central que permite solicitar a devolução de valores Pix em caso de fraude. Funciona assim:

1. Entre em contato com seu banco em até 80 dias após o Pix
2. Informe que foi vítima de fraude e solicite abertura do MED
3. O banco tem 7 dias corridos para analisar
4. Se confirmada a fraude, o banco do recebedor tem 96 horas (4 dias) para devolver o valor

Funciona sempre? Não. O MED só funciona se ainda houver saldo na conta do golpista. Na maioria dos casos, o dinheiro já foi transferido para outras contas. A boa notícia é que o MED 2.0, previsto para 2026, vai permitir rastrear o dinheiro mesmo após múltiplas transferências.

Como denunciar a conta bancária do golpista

Além do MED, denuncie diretamente ao banco onde o golpista tem conta. Se o Pix foi para uma conta no Banco do Brasil, Bradesco, Itaú ou qualquer outro, ligue para a central do banco e informe que a conta está sendo usada para fraude. Bancos são obrigados a investigar.

O Ulisses explicou que existem duas abordagens para investigar fraude eletrônica: "ou você investiga o caminho do dinheiro, que a gente chama de follow the money, ou você vai atrás dos endereços IPs, do site." No aulão, focamos na investigação de infraestrutura (sites, domínios, dados públicos), mas o follow the money é o que a polícia faz quando tem acesso a dados bancários.

Para mais contexto sobre investigação de golpes com casos reais, assista ao Aulão #3 — Desvendando um Golpe Real na OLX, onde eu investiguei um golpe do início até a identificação do criminoso.

O ecossistema dos golpes de lojas virtuais no Brasil

Golpes de lojas virtuais no Brasil operam como negócios: têm infraestrutura dedicada, gateways de pagamento montados, templates replicáveis e redes de laranjas descartáveis. Entender esse ecossistema ajuda a identificar padrões.

O Ulisses detalhou o modus operandi que ele vê nas investigações da Polícia Civil:

• Conta laranja no Pix — pessoa recrutada para emprestar dados e receber os pagamentos
• Gateway montado — sistema de pagamento configurado para processar transações rapidamente
• Template replicado — o mesmo layout de loja usado em dezenas de domínios diferentes
• Múltiplos domínios — quando um é derrubado, outro já está no ar com novo nome
• Tráfego pago — investimento em Google Ads e redes sociais para aparecer nos primeiros resultados

"Essa pessoa que recebe esse dinheiro, ela é chamada de laranja, mas ela é um partícipe", explicou o Ulisses. E complementou: "essa pessoa é descartável. Daqui uns dias eu vou criar outra empresa, outro laranja, outro endereço falso."

É um sistema que se retroalimenta. E PROCON, Google, Registro.br — todos aceitam denúncias. A investigação individual importa: cada site derrubado, cada BO registrado, cada denúncia ao banco contribui para dificultar a operação do golpista. Não resolve sozinho, mas soma.

Checklist completo: como investigar uma loja virtual em 15 minutos

Aqui está a sequência que eu e o Ulisses seguimos no aulão, condensada em um checklist prático:

Etapa 1 — Análise visual (2 minutos)

• Verifique selos de segurança (clique neles — falsos não abrem nada)
• Confira o rodapé: tem CNPJ, razão social, endereço, telefone?
• Compare o layout com lojas conhecidas do mesmo segmento

Etapa 2 — Whois (2 minutos)

• Acesse registro.br/whois para domínios .br
• Verifique data de criação e nome do proprietário
• Compare CPF/CNPJ do Whois com os dados da loja

Etapa 3 — CNPJ na Receita Federal (2 minutos)

• Consulte o CNPJ na Receita
• Verifique razão social, situação cadastral, data de abertura e CNAE
• Compare endereço da Receita com o endereço do site

Etapa 4 — Google Maps (2 minutos)

• Cole o endereço da loja no Google Maps
• Ative o Street View e verifique se é compatível com o negócio

Etapa 5 — Reputação online (2 minutos)

• Pesquise o nome da loja + "golpe" ou "fraude" no Google
• Consulte processos no JusBrasil

Etapa 6 — Teste do cliente falso (5 minutos)

• Entre em contato simulando interesse
• Observe: aceita cartão? Emite NF? Nome no Pix bate com a empresa?

Se qualquer etapa revelar inconsistência, não compre. Simples assim.

Ferramentas Utilizadas Neste Aulão

Ferramenta	Finalidade	Link
Whois (Registro.br)	Consultar dados de registro de domínios .br	Registro.br Whois
Receita Federal	Verificar CNPJ, razão social e situação cadastral	Consulta CNPJ
Google Maps	Verificar endereço físico da loja via Street View	Google Maps
Google Safe Browsing	Verificar e denunciar sites perigosos	Safe Browsing
ABR Telecom	Identificar operadora de número de telefone	Consulta Número
JusBrasil	Pesquisar processos judiciais de empresas	JusBrasil
Serasa	Consultar situação financeira e protestos	Serasa
MED (Banco Central)	Solicitar devolução de Pix em caso de fraude	Pix — BCB

Perguntas Frequentes

Como saber se uma loja virtual é confiável?

Consulte o Whois do domínio para ver quando foi criado e quem registrou. Verifique o CNPJ na Receita Federal e compare o endereço com o Google Maps. Lojas com menos de 6 meses de domínio, CNPJ recém-aberto e endereço residencial são sinais claros de fraude.

O cadeado HTTPS garante que o site é seguro?

Não. O cadeado indica apenas que a conexão é criptografada, não que o site é confiável. Golpistas usam certificado SSL (gratuito) nos sites deles. Nunca use o cadeado como único critério de segurança.

O que fazer se já caí num golpe de loja virtual?

Acione o MED do Banco Central pelo seu banco em até 80 dias. Registre boletim de ocorrência na delegacia virtual. Denuncie o site ao Google Safe Browsing e ao registrador de domínio. Guarde todos os prints e comprovantes.

Como denunciar uma loja falsa na internet?

Denuncie ao Google Safe Browsing, ao registrador de domínio (Registro.br para .br), ao provedor de hospedagem, ao PROCON e registre BO. Quanto mais denúncias, mais rápido o site é removido.

Como funciona o MED do Pix para recuperar dinheiro de golpe?

O MED é um mecanismo do Banco Central que bloqueia valores na conta do golpista. Você solicita pelo seu banco em até 80 dias. O banco analisa em 7 dias e, se confirmada a fraude, o valor é devolvido em até 96 horas. A limitação é que o dinheiro precisa ainda estar na conta.

Domínio recém-criado significa que a loja é golpe?

Não automaticamente, mas é um forte sinal de alerta. Um domínio com semanas ou poucos meses vendendo produtos caros é muito suspeito. Combine essa informação com outros sinais: endereço residencial, CNPJ recente, ausência de nota fiscal, pagamento exclusivo por Pix.

É possível derrubar um site de golpe da internet?

Sim. Denúncias ao Google Safe Browsing fazem o Chrome mostrar aviso de site perigoso. Denúncias ao registrador e ao provedor de hospedagem podem resultar na suspensão do domínio. O processo leva de dias a semanas, mas funciona.

Como identificar se os selos de segurança de uma loja são verdadeiros?

Clique no selo. Selos verdadeiros (Norton, SiteLock, Google Safe Browsing) abrem uma página de verificação no site da certificadora. Se clicar e nada acontecer — ou se abrir uma imagem — o selo é falso. É apenas uma imagem colada no site.

Referências e Recursos

• Whois — Registro.br
• Consulta CNPJ — Receita Federal
• Consulta Número — ABR Telecom
• Google Safe Browsing — Denúncia de sites
• JusBrasil — Pesquisa Jurídica
• Serasa — Consulta CPF e CNPJ
• Pix e MED — Banco Central do Brasil
• PROCON-SP — Denúncia de sites falsos
• NIC.br — 8 formas de identificar site seguro ou falso