Imagine a cena: alguém te envia um nome desconhecido pelo Telegram, manda um link curto e escreve "urgente, dá uma olhada". Ou, em um chat de trabalho, alguém compartilha surl.li/abcdef sem nenhuma explicação. Ou você vê um QR code em um poste na rua com a inscrição "90% de desconto". O que a pessoa comum faz? Isso mesmo: clica. Porque é interessante. Porque pode ser mesmo um desconto. Porque um colega compartilhou, então é normal.
E o que acontece a seguir é uma loteria. Às vezes é um desconto real. Às vezes é um site de phishing que se parece com o do seu banco. Às vezes é o download automático de algo desagradável. Às vezes é apenas a coleta de dados sobre você: IP, dispositivo, geolocalização.
Um link curto, por sua própria natureza, oculta o URL final. Essa é tanto sua principal vantagem (compactação, conveniência) quanto sua principal vulnerabilidade (ninguém sabe para onde ele leva). Mas há boas notícias: verificar um link antes de clicar é muito mais fácil do que parece. E leva literalmente um minuto.
Por que os links curtos são perigosos?
Primeiro, um pouco de teoria para entendermos com o que estamos lidando:
Um link comum é transparente. Você vê o domínio, vê o caminho e entende mais ou menos onde vai parar. https://privatbank.ua/login é claro, mas https://privat-bank-login.ru/secure já é suspeito, e a maioria das pessoas vai perceber isso.
O link curto é opaco. https://surl.li/abcdef não diz nada sobre o URL final. Pode ser o site oficial do Privatbank ou uma cópia exata hospedada em um domínio russo. A única diferença entre eles é onde o redirecionamento está configurado. E você não saberá disso sem verificar.
É exatamente isso que os atacantes estão usando. Campanhas de phishing, e-mails de spam, malware – todos eles utilizam ativamente links encurtados para burlar filtros e diminuir a suspeita. Uma pessoa vê um link curto e prático, em vez de uma URL longa e complexa com um domínio suspeito – e baixa a guarda.
Método 1: Expanda os links antes de navegar.
O método mais fácil e óbvio é verificar para onde um link leva antes de acessá-lo. Existem algumas maneiras de fazer isso:
Truque do Bitly Plus. Se você vir um link do Bitly (formato bit.ly/xxxxx), adicione um + ao final da URL e abra-o em um navegador. Por exemplo, bit.ly/3xKm9pQ+. Em vez de um redirecionamento, você verá uma página de estatísticas com a URL final.
Serviços de implantação online. Existem ferramentas especiais onde você insere um link curto e obtém o URL final sem precisar passar por todo o processo. Uma delas é https://surl.li/en/check-short-url . Insira um link suspeito, clique em verificar e veja para onde ele leva, mesmo antes do navegador fazer qualquer redirecionamento. Conveniente, rápido e sem necessidade de instalar nada.
Posicione o cursor sobre o link no navegador. Se o link estiver na página como texto clicável, basta passar o cursor do mouse sobre ele e o URL aparecerá no canto inferior esquerdo do navegador. No entanto, esse método não é adequado para dispositivos móveis.
Método 2: Verificar o domínio final
Você expandiu o link e viu o URL final, mas não pare por aí. Agora você precisa avaliar o próprio domínio. O que procurar:
Semelhança com uma marca conhecida com pequenas alterações. O domínio privatbank.ua é real, enquanto privat-bank.ua, privatbank.com e privatbank-secure.xyz são provavelmente tentativas de phishing. Isso se chama typosquatting: um domínio semelhante a um domínio conhecido é registrado para atrair pessoas para ele.
Domínio de nível superior incomum. Se o seu banco ou serviço sempre esteve em domínios .ua ou .com, e o link leva a .ru, .xyz, .tk ou .ml, fique atento. Domínios de nível superior gratuitos são amplamente utilizados para sites de phishing de uso único.
Sem HTTPS. Em 2026, qualquer site legítimo que colete dados usará HTTPS. Se o link levar a http:// sem o "s", é motivo para fechar a aba.
Estrutura de URL confusa. Um site bancário legítimo não se parece com secure-login.verification-id-12345.com/privatbank/auth. Sites legítimos têm uma estrutura de URL clara e compreensível.
Método 3: Usar o verificador de reputação de URL
Se você quiser não apenas ver o URL final, mas também verificar se ele é conhecido por ser malicioso, existem ferramentas para verificar a reputação:
Navegação segura do Google. Integrada ao Chrome e à maioria dos navegadores modernos. Se um site for conhecido por praticar phishing ou conter malware, o navegador exibirá um aviso. Mas essa é uma medida reativa, pois o Google não detecta sites perigosos instantaneamente.
VirusTotal. Um serviço gratuito onde você pode colar um URL e verificá-lo simultaneamente em mais de 70 bancos de dados antivírus. Mostra se algum deles detectou algum problema. Especialmente útil para links que acabaram de surgir e ainda não foram adicionados à Navegação Segura do Google.
Verificação de domínio e Whois. Se o domínio foi registrado há uma semana, isso é um forte sinal de alerta. Sites de phishing não duram muito, são bloqueados rapidamente, então os atacantes registram novos. Você pode verificar a data de registro do domínio através de qualquer serviço de Whois.
Método 4: Sandbox – abra os links isoladamente
Às vezes você precisa abrir um link, mas quer fazê-lo com segurança. Para isso, existem os chamados "sandboxes" – ambientes isolados onde o site carrega sem acesso ao seu dispositivo.
O modo anônimo oferece proteção mínima. Ele não salva cookies nem dados de sessão, mas também não protege contra códigos maliciosos.
Ambientes isolados do navegador. Serviços como Browserling ou Any.run permitem que você abra um URL em um navegador remoto e veja o que acontece — sem colocar seu dispositivo em risco. Você vê a página na sua tela, mas a interação real ocorre nos servidores deles.
Um dispositivo separado ou uma máquina virtual. Se você trabalha com segurança ou testes, faz sentido manter uma máquina virtual separada ou um celular antigo exclusivamente para abrir links suspeitos.
Para o usuário comum, o isolamento em sandbox pode parecer um pouco paranoico. Mas se você recebeu um link de uma fonte desconhecida e ele envolve finanças, senhas ou informações pessoais, é melhor prevenir do que remediar.
Sinais de alerta: quando você definitivamente não deve empurrar
Existem situações em que nenhuma verificação é necessária – o link simplesmente não deve ser aberto:
Remetente desconhecido + link curto sem contexto. Se uma pessoa em quem você não confia ou que você não conhece enviar um link sem nenhuma explicação, a probabilidade de ser algo útil para você é praticamente nula.
Pressão e urgência. “Urgente!”, “somente hoje”, “sua conta será bloqueada” são táticas clássicas de manipulação. Serviços legítimos não se comportam dessa maneira.
Um prêmio ou vitória inesperada. Você não se inscreveu em nenhum concurso, mas "ganhou um iPhone"? Isso não é coincidência, é engenharia social.
Links SMS de um "banco" ou "serviço de entrega". Bancos legítimos enviam SMS de números oficiais e nunca pedem que você clique em um link para inserir sua senha ou dados do cartão. Serviços de entrega podem enviar links de rastreamento, mas se você não fez nenhum pedido, não se trata de um pacote seu.
O que fazer se você já se mudou?
Bem, às vezes a mão clica mais rápido do que o cérebro pensa. Não há motivo para pânico, mas é preciso agir:
Se a página solicitar informações, não digite nada e feche a aba. Abrir a página por si só geralmente não é crítico; o perigo começa ao inserir dados ou baixar arquivos.
Se você baixar algum arquivo, não o abra. Execute imediatamente uma verificação antivírus ou, se não tiver um, baixe a versão gratuita do Malwarebytes e faça uma verificação.
Se você digitou uma senha, altere-a imediatamente no serviço que o site estava usando como fachada. Se a mesma senha for usada em outros lugares, altere-a em todos eles. É por isso que senhas exclusivas para cada serviço não são paranóia, mas sim uma necessidade.
Se você inseriu os dados do seu cartão, ligue para o seu banco e bloqueie o cartão. É melhor solicitar um novo cartão e ficar alguns dias sem ele do que passar meses tentando obter um reembolso.
Como os serviços de encurtamento de links estão combatendo isso
Serviços responsáveis de encurtamento de links entendem que sua plataforma pode ser usada não apenas por profissionais de marketing honestos. É por isso que serviços confiáveis — e o Surli está entre eles — possuem seus próprios mecanismos de moderação e verificação de links maliciosos. Links que levam a sites conhecidos de phishing ou maliciosos são bloqueados na plataforma.
Mas isso não significa que você possa transferir completamente a responsabilidade para o serviço. Novos sites maliciosos surgem constantemente, e sempre há um intervalo entre o momento em que são criados e o momento em que são bloqueados. Portanto, sua própria vigilância e verificação através de https://surl.li/en/check-short-url não é paranoia excessiva, mas sim um hábito inteligente.
Resumo: A Regra dos Dois Segundos
Verificar um link curto antes de clicar leva no máximo dois segundos – se você souber o que fazer. Cole o link no verificador, veja o URL final e avalie o domínio visualmente. É só isso.
Não é difícil e não exige nenhum conhecimento técnico. Basta criar o hábito – o mesmo que verificar o remetente antes de abrir um anexo de e-mail. Todos nós aprendemos a não abrir anexos desconhecidos. É hora de aprendermos a não clicar em links suspeitos sem ao menos uma verificação mínima.
Porque um clique no lugar errado pode custar muito mais do que aqueles dois segundos que você queria economizar.
