Destaques Cidadãos Phishing & Engenharia Social

Phishing em Portugal: Como Reconhecer e Evitar Burlas Digitais

2 semanas ago
Ciberseguranca.PT

O phishing é a ciberameaça mais comum em Portugal e no mundo. Consiste no envio de comunicações fraudulentas — emails, SMS, chamadas telefónicas ou mensagens em redes sociais — que se fazem passar por entidades legítimas para roubar credenciais, dados bancários ou dinheiro. Em 2024, o phishing representou mais de 40% dos incidentes de cibersegurança reportados ao CERT.PT.

O que é phishing? Definição e origem

O termo “phishing” é uma variação de “fishing” (pescar em inglês) — a metáfora é precisa: os atacantes lançam iscas digitais e esperam que as vítimas “mordam o anzol”. A primeira utilização documentada do termo data de 1996, mas a técnica evoluiu dramaticamente desde então, especialmente com a proliferação da inteligência artificial generativa.

Tipos de phishing mais comuns em Portugal

Phishing por email

O mais tradicional. Mensagens que simulam comunicações de bancos (CGD, BCP, Novobanco, Santander), serviços públicos (Finanças, Segurança Social, SNS), plataformas de comércio eletrónico (Amazon, Fnac) ou serviços de correio (CTT, DHL). O objetivo é levar a vítima a clicar num link que aponta para um site falso onde são roubadas credenciais ou dados de cartão de crédito.

Smishing (phishing por SMS)

Mensagens de texto com links maliciosos ou números de telefone fraudulentos. Em Portugal, são comuns os SMS falsos de CTT (“tem uma encomenda retida”), de bancos (“atividade suspeita na sua conta”) e de serviços de streaming. A taxa de clique em links de SMS é significativamente maior do que em email.

Vishing (phishing por voz)

Chamadas telefónicas em que o atacante se apresenta como funcionário de banco, técnico de informática da Microsoft, ou agente da Autoridade Tributária. Com a IA generativa, os atacantes conseguem agora clonar vozes conhecidas — um fenómeno ainda emergente mas preocupante.

Spear phishing

Phishing altamente personalizado, direcionado a um indivíduo ou organização específica. O atacante pesquisa a vítima previamente (LinkedIn, redes sociais, website da empresa) para criar uma mensagem convincente. É o vetor mais eficaz e o mais utilizado em ataques a empresas.

Quishing (phishing por QR code)

Uma tendência crescente: códigos QR físicos (em restaurantes, parques de estacionamento, eventos) ou digitais que redirecionam para sites maliciosos. Os filtros de email e os utilizadores têm mais dificuldade em detetar QR codes maliciosos do que links de texto.

Como reconhecer um ataque de phishing

Embora os ataques de phishing sejam cada vez mais sofisticados, existem sinais de alerta a que deve prestar atenção:

  • Urgência artificial: “A sua conta será suspensa em 24 horas”, “Ação imediata necessária”. Os atacantes criam pressão para impedir que pense com calma.
  • Remetente suspeito: o endereço de email não corresponde ao domínio oficial da entidade (ex.: [email protected] em vez de @cgd.pt).
  • Links que não correspondem: passe o cursor sobre o link sem clicar — o URL real é diferente do texto apresentado.
  • Pedidos de informação sensível: nenhuma entidade legítima pede por email a sua senha, PIN ou número de cartão completo.
  • Erros gramaticais ou ortográficos: embora a IA tenha reduzido este sinal, ainda é um indicador.
  • Imagens ou formatação de baixa qualidade: logos desfocados, cores ligeiramente diferentes do original.

Os esquemas mais comuns em Portugal em 2026

  • Falso reembolso fiscal: email ou SMS das “Finanças” a avisar de um reembolso pendente.
  • Encomenda retida: SMS dos “CTT” a pedir o pagamento de uma taxa alfandegária.
  • Suspensão de conta bancária: email do banco a pedir confirmação de dados.
  • Falso suporte técnico: chamada da “Microsoft” a avisar que o computador tem um vírus.
  • Fraude romântica: contacto em redes sociais ou apps de encontros que evolui para pedidos de dinheiro.
  • Falsas ofertas de emprego: emails com propostas de trabalho em nome de empresas reais.

Como se proteger

  • Verifique sempre o remetente e o URL antes de clicar ou fornecer dados.
  • Nunca forneça dados sensíveis por email, SMS ou telefone em resposta a uma solicitação não iniciada por si.
  • Ative a autenticação de dois fatores (2FA) em todas as contas — mesmo que roubem a sua senha, não conseguem aceder sem o segundo fator.
  • Verifique diretamente — se receber uma mensagem suspeita do banco, ligue diretamente para o número oficial (não o que está na mensagem).
  • Use um gestor de senhas — não preenche automaticamente formulários em sites falsos.
  • Mantenha o browser e os sistemas atualizados — muitos sites de phishing são bloqueados por bases de dados de URLs maliciosos.

O que fazer se cair numa burla de phishing

  1. Altere imediatamente as senhas das contas comprometidas.
  2. Contacte o seu banco se forneceu dados financeiros — podem bloquear o cartão e reverter transações.
  3. Denuncie à GNR (gnr.pt), PSP ou Polícia Judiciária.
  4. Reporte ao CERT.PT em cert.pt.
  5. Se forneceu dados pessoais, considere alertar a CNPD.

Fonte: CERT.PT, CNCS, GNR, Banco de Portugal, relatórios públicos de cibersegurança.

Related Posts

Destaques Gestores Vulnerabilidades & CVEs

Kali Linux 2026.2 chega com nove novas ferramentas e melhorias significativas no NetHunter

11 minutos ago
Ciberseguranca.PT
Destaques Incidentes Profissionais Vulnerabilidades & CVEs

Hacker ética acede a sistemas de transmissão da Copa do Mundo 2026 e expõe falha grave de controlo de acesso na FIFA

3 horas ago
Ciberseguranca.PT
Destaques Incidentes Profissionais Vulnerabilidades & CVEs

Nissan confirma violação de dados de colaboradores associada a ataques de dia zero contra Oracle PeopleSoft

4 horas ago
Ciberseguranca.PT
Destaques Gestores PME Profissionais Vulnerabilidades & CVEs

CVE-2025-60727: vulnerabilidade crítica no Microsoft Excel permite execução remota de código através de ficheiro malicioso

19 horas ago
Ciberseguranca.PT