Posso confiar em links encurtados (bit.ly)?

Não automaticamente. São muito usados em smishing para esconder o destino. Antes de clicar, expanda o link com unshorten.it ou checkshorturl.com para ver o URL real.

Como descubro qual é o domínio oficial de uma marca?

Escreva o nome no Google e abra o primeiro resultado oficial (não anúncio). Verifique no rodapé que indica a razão social. Guarde o domínio. Domínios .gov.pt são exclusivos do Estado português.

VirusTotal diz que o site é limpo, posso confiar?

Reduz risco mas não garante. Sites de burla muito recentes podem ainda não estar catalogados. Combine sempre com a análise do domínio e idade.

Todos os guias

5 min · Actualizado em 23/05/2026

Como verificar se um site ou link é seguro antes de clicar

Saber ler um URL é a competência digital mais subvalorizada. Em 30 segundos, lendo o endereço com calma, evita a maioria das burlas de phishing, lojas falsas e quishing. Este guia ensina a fazê-lo passo a passo.

Como se lê um URL

Um URL tem três partes essenciais: protocolo (https://), domínio (cgd.pt) e caminho (/clientes/login). O domínio é o que importa, e lê-se da direita para a esquerda.

Exemplo: em https://clientes.cgd.pt/login, o domínio é cgd.pt. Em https://cgd.clientes-seguros.com/login, o domínio é clientes-seguros.com, NÃO é a CGD. O criminoso pôs 'cgd' como subdomínio para enganar.

Truques comuns usados em URLs falsos

→Hífenes onde não existem: cgd-pt.com, ctt-portugal.info, at-financas.net.
→Sufixos baratos ou invulgares: .click, .top, .xyz, .shop, .online em vez de .pt ou .com oficial.
→Subdomínio a imitar a marca: marca.fake-site.com em vez de marca.com.
→Substituição de caracteres: 0 (zero) por o, l minúsculo por I maiúsculo, rn parecido com m (rnicrosoft.com).
→Caracteres unicode/cirílicos visualmente idênticos (homógrafos): «а» cirílico parece «a» latino.
→Links encurtados (bit.ly, t.ly, cutt.ly, tinyurl) que escondem o destino real.

HTTPS e o cadeado: o mito

Ver «https://» e o cadeado verde só garante que a comunicação está cifrada entre o seu browser e o servidor. NÃO garante que o servidor pertence à entidade certa. Os burlões obtêm certificados HTTPS gratuitos em minutos.

Avalie sempre o domínio, não o cadeado.

Verificar a idade e o registo de um domínio

Sites legítimos de marcas grandes têm anos de existência. Um domínio criado há 9 dias a vender Decathlon com 80% de desconto é, quase certamente, uma loja falsa.

→whois.com ou who.is, mostra a data de registo do domínio.
→VirusTotal (virustotal.com), agrega dezenas de motores antivírus e reputação do domínio.
→Google Safe Browsing (transparencyreport.google.com/safe-browsing), indica se o Google já marcou o site como malicioso.
→Detector de Burla AMD em /analisar, cola o link e recebe análise informativa sem precisar de abrir.

Como ver o destino real de um link sem clicar

→Desktop: passe o rato por cima do link e olhe para o canto inferior esquerdo do browser.
→Telemóvel: prima e mantenha pressionado o link, aparece um menu com o URL completo.
→Email: prima e mantenha o link sem soltar para ver o destino. Não use só a opção 'abrir'.

Perguntas frequentes

Posso confiar em links encurtados (bit.ly)?: Não automaticamente. São muito usados em smishing para esconder o destino. Antes de clicar, expanda o link com unshorten.it ou checkshorturl.com para ver o URL real.
Como descubro qual é o domínio oficial de uma marca?: Escreva o nome no Google e abra o primeiro resultado oficial (não anúncio). Verifique no rodapé que indica a razão social. Guarde o domínio. Domínios .gov.pt são exclusivos do Estado português.
VirusTotal diz que o site é limpo, posso confiar?: Reduz risco mas não garante. Sites de burla muito recentes podem ainda não estar catalogados. Combine sempre com a análise do domínio e idade.