O Gabinete Cibercrime da Procuradoria-Geral da República (PGR) emitiu um alerta sobre uma campanha de burla informática que combina mensagens falsas com chamadas telefónicas convincentes para contornar a autenticação de dois fatores dos bancos e esvaziar contas de clientes portugueses. O esquema, mais sofisticado do que o phishing tradicional, está a fazer vítimas em Portugal.
Como funciona o esquema
O ataque decorre em quatro etapas encadeadas. Primeiro, as vítimas recebem SMS ou emails que imitam instituições bancárias conhecidas — como o Santander ou a Caixa Geral de Depósitos — informando de uma movimentação suspeita na conta. De seguida, os criminosos ligam à vítima, fazendo-se passar por funcionários do departamento de cibersegurança do banco. Para ganhar credibilidade, confirmam dados reais da vítima, como o nome e detalhes da conta, obtidos previamente através de fugas de dados ou infostealers.
O momento crítico chega quando, ainda ao telefone, os atacantes iniciam uma transferência real do dinheiro da vítima. O banco envia o código de autorização (2FA) para o telemóvel do cliente. O burlão pede esse código, alegando ser necessário para “cancelar” a movimentação suspeita. Ao partilhá-lo, a vítima valida, sem saber, o roubo do seu próprio dinheiro.
O que fazer
A PGR é clara: o segundo fator de autenticação — os códigos recebidos por SMS ou na aplicação do banco — nunca deve ser partilhado com ninguém, incluindo com funcionários do banco. Nenhuma instituição legítima pede esses códigos por telefone.
Em 2025, o Gabinete Cibercrime da PGR recebeu 695 denúncias relacionadas com phishing e 303 denúncias de telefonemas fraudulentos — números que sublinham a escala do problema. Perante qualquer contacto não solicitado que invoque urgência ou solicite dados bancários, a recomendação é desligar e contactar diretamente o banco através dos canais oficiais.
Porque é que isto importa
Esta campanha é um ponto de situação de uma ameaça já documentada anteriormente. A novidade está na sofisticação crescente: os atacantes combinam engenharia social com dados reais das vítimas, tornando a chamada difícil de distinguir de um contacto legítimo. A literacia digital e o conhecimento claro de como funciona o segundo fator de autenticação são, neste contexto, a principal linha de defesa dos cidadãos.
Esta informação tem carácter noticioso e baseia-se em dados divulgados publicamente pelo Gabinete Cibercrime da Procuradoria-Geral da República.