Cidadãos Destaques Phishing & Engenharia Social

Ministério Público alerta para campanha de phishing e engenharia social que visa contas bancárias de portugueses

3 horas ago
Ciberseguranca.PT

O Gabinete de Cibercrime da Procuradoria-Geral da República (PGR) emitiu a 15 de junho de 2026 um comunicado de alerta para uma campanha criminosa ativa que combina técnicas de phishing e engenharia social para aceder ilegalmente a contas bancárias de clientes de várias instituições financeiras portuguesas. O MP descreve a operação como “uma iniciativa criminosa muito complexa”, que tem resultado em transferências monetárias “muito avultadas” das contas das vítimas para contas controladas pelos criminosos.

Como funciona o ataque em três fases

O comunicado do Gabinete de Cibercrime descreve um ataque em três fases encadeadas, cada uma dependente da anterior:

  • Fase 1 — Mensagem fraudulenta: as vítimas recebem um SMS, um email ou uma mensagem de WhatsApp alegadamente proveniente do seu banco, alertando para uma transferência ou pagamento suspeito recentemente realizado a partir da sua conta. A mensagem inclui um link e transmite urgência, induzindo a “ação irrefletida da vítima”, nas palavras do MP;
  • Fase 2 — Site falso e captura de credenciais: ao clicar no link, a vítima é redirecionada para uma página fraudulenta que imita, com elevado grau de detalhe, o site real do banco. É-lhe pedido que confirme a sua identidade introduzindo dados pessoais, credenciais de acesso à conta bancária e o número de telefone. Estes dados são capturados imediatamente pelos criminosos, que acedem à conta bancária real da vítima e ficam a conhecer o saldo e os movimentos;
  • Fase 3 — Telefonema e segundo fator de autenticação: como a generalidade dos bancos portugueses exige um segundo fator de autenticação para transferências, os criminosos — que já têm acesso à conta mas ainda não conseguem mover dinheiro — telefonam à vítima identificando-se como funcionários da área de cibersegurança do banco. Usam os detalhes da conta que obtiveram ilicitamente para dar credibilidade à abordagem. Informam a vítima de que foi detetado um “movimento suspeito de grande valor” e perguntam se foi ela a autorizá-lo. Quando a vítima nega, os criminosos oferecem-se para “anular” o movimento — o que requer que a vítima confirme a sua identidade através do segundo fator de autenticação. Mal a vítima fornece o código ou aprovação na aplicação, os criminosos concluem a transferência para as suas contas.

O que torna este esquema particularmente eficaz

A sofisticação desta campanha reside na forma como contorna o segundo fator de autenticação — a proteção adicional que os bancos implementaram precisamente para evitar transferências não autorizadas. Os criminosos não tentam quebrar tecnicamente esse mecanismo: manipulam psicologicamente a vítima para que seja ela própria a fornecer o código de autenticação, convencida de que está a proteger o seu dinheiro quando na realidade está a autorizar o seu roubo.

O facto de os criminosos demonstrarem conhecer o saldo da conta e detalhes dos movimentos — informação que obtiveram na fase 2 — confere ao telefonema uma aparência de legitimidade que dificulta a identificação da fraude em tempo real.

O que o Ministério Público recomenda

O Gabinete de Cibercrime da PGR recomenda:

  • Ignorar e apagar mensagens SMS, email ou WhatsApp com links que alertem para movimentos suspeitos na conta bancária, sem clicar em qualquer ligação;
  • Ignorar chamadas telefónicas de alegados funcionários bancários que peçam confirmação de movimentos ou códigos de autenticação — os bancos não fazem este tipo de contacto;
  • Nunca fornecer códigos de autenticação ou aprovar notificações na aplicação bancária quando solicitado por terceiros ao telefone, independentemente de quão convincente pareça o interlocutor;
  • Em caso de dúvida, contactar diretamente o banco através dos canais oficiais — números disponíveis no cartão bancário ou no site oficial — e não através de números ou links recebidos em mensagens.

Porque é que isto importa

O alerta do Ministério Público surge numa altura em que as campanhas de phishing bancário em Portugal se têm intensificado. Este esquema específico — que combina captura de credenciais com engenharia social telefónica — não é novo, mas a sua escala e sofisticação aumentaram significativamente. A campanha não está associada a uma vulnerabilidade técnica dos bancos: o segundo fator de autenticação funciona como previsto. O problema é que os criminosos contornam a tecnologia manipulando as pessoas.

Qualquer utilizador de homebanking em Portugal é um alvo potencial. A proteção mais eficaz é o conhecimento do esquema: saber que nenhum banco legítimo pede códigos de autenticação por telefone, e que qualquer mensagem que transmita urgência e inclua um link deve ser tratada com desconfiança máxima.

Esta informação tem caráter noticioso e baseia-se no comunicado do Gabinete de Cibercrime da Procuradoria-Geral da República de 15 de junho de 2026, e em reportagens do Público, Jornal de Notícias, TSF e Diário de Notícias sobre o mesmo tema.

Related Posts

Cidadãos Destaques PME Profissionais Vulnerabilidades & CVEs

Ataque à cadeia de fornecimento compromete plugins WordPress com 1,2 milhões de instalações — verifique o seu site

5 horas ago
Ciberseguranca.PT
Destaques Gestores PME Profissionais Threat Intelligence

Hackers usam o Microsoft Graph para identificar funcionários de RH e desviar salários — o que é o ataque “Payroll Piracy”

5 horas ago
Ciberseguranca.PT
AI Act Cidadãos Destaques RGPD

Anthropic atualiza política de privacidade do Claude: verificação de identidade e mais detalhe sobre dados de tarefas autónomas

5 horas ago
Ciberseguranca.PT
Destaques Gestores Profissionais Vulnerabilidades & CVEs

SearchLeak (CVE-2026-42824): a falha no Microsoft 365 Copilot que exfiltrava emails, ficheiros e códigos MFA com um único clique

10 horas ago
Ciberseguranca.PT