O que é phishing? Como funciona e como se proteger em Portugal

Como funciona um ataque de phishing

O atacante envia uma comunicação (email, SMS, mensagem em redes sociais ou chamada) que imita uma entidade legítima. O objectivo é levar a vítima a clicar num link, abrir um anexo, transferir dinheiro ou partilhar dados sensíveis.

As páginas de destino costumam ser clones quase perfeitos de sites reais. Quando a vítima introduz as credenciais, estas são enviadas directamente para o burlão.

Tipos de phishing mais comuns em Portugal

Em Portugal, predominam variantes que exploram serviços de uso massivo:

• →Phishing bancário (Caixa Geral de Depósitos, Millennium BCP, Santander, Novo Banco, ActivoBank, BPI).
• →Smishing das transportadoras (CTT, DPD, GLS) a pedir taxa alfandegária.
• →Falsos avisos da Autoridade Tributária e do Portal das Finanças.
• →Mensagens em nome da MB WAY a pedir confirmação de pagamento.
• →Falsas notificações de multas, IUC ou viaturas.

Sinais de alerta numa mensagem de phishing

Estes indícios isolados não confirmam burla, mas quando aparecem combinados a probabilidade aumenta significativamente:

• →Urgência: «conta suspensa em 24 horas», «última oportunidade».
• →Erros de português, traduções automáticas e tratamentos genéricos («Caro cliente»).
• →Links encurtados (bit.ly, t.ly) ou domínios parecidos com o oficial (ctt-pt.com em vez de ctt.pt).
• →Pedido de dados que a entidade real nunca pede: PIN, código SMS, palavra-passe completa.
• →Remetente diferente do domínio oficial, mesmo quando o nome é correcto.

Como confirmar se uma mensagem é phishing

Antes de clicar, valide pelo canal oficial: app do banco, site escrito manualmente no browser, ou linha de apoio publicada na factura. Nunca use o número ou link que vem na mensagem suspeita.

Pode também submeter o texto ou imagem da mensagem no Detector de Burla da AMD para uma análise informativa imediata.

O que fazer se já clicou no link

Se introduziu credenciais, mude-as imediatamente em todos os serviços onde usa a mesma palavra-passe. Active a autenticação em dois passos.

Se partilhou dados de cartão, contacte o banco para bloquear o cartão. Se confirmou um pagamento na app, peça reversão e participe o ocorrido à Polícia Judiciária e ao Centro Nacional de Cibersegurança.

Perguntas frequentes

Qual a diferença entre phishing, smishing e vishing?

Phishing usa email, smishing usa SMS e vishing usa chamada telefónica. A técnica é a mesma: engano de identidade para obter dados ou dinheiro.

O meu banco pode pedir o código SMS por telefone?

Não. Nenhum banco português pede códigos de autorização, PIN ou palavra-passe por chamada, SMS ou email. Se acontecer, é burla.

Como denunciar uma tentativa de phishing em Portugal?

Reencaminhe SMS suspeitos para o 505 da ANACOM, comunique ao CNCS através de cncs.gov.pt e apresente queixa-crime na Polícia Judiciária se houver prejuízo.