{"id":33,"date":"2026-06-10T12:35:51","date_gmt":"2026-06-10T12:35:51","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/10\/phishing\/"},"modified":"2026-06-10T13:35:45","modified_gmt":"2026-06-10T13:35:45","slug":"phishing","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/security\/phishing\/","title":{"rendered":"Phishing e Engenharia Social: Reconhecer e Reagir"},"content":{"rendered":"

Nem todos os ataques tentam furar a tecnologia. Muitos, talvez a maioria dos que atingem pessoas comuns, escolhem um caminho mais f\u00e1cil: enganar a v\u00edtima para que ela pr\u00f3pria abra a porta. A isto chama-se phishing quando vem por mensagem, e engenharia social no sentido mais largo. Em vez de partir cifras ou explorar falhas de software, o atacante explora a confian\u00e7a, a pressa e o medo de quem est\u00e1 do outro lado. Este artigo descreve como funcionam estes esquemas, que t\u00e1ticas usam, como reconhecer os sinais de uma mensagem fraudulenta e o que fazer no momento em que se percebe que se caiu no engano.<\/p>\n

O que \u00e9 o phishing e por que resulta<\/h2>\n

Phishing \u00e9 a tentativa de o levar a revelar informa\u00e7\u00e3o sens\u00edvel, ou a executar uma a\u00e7\u00e3o, fazendo-se passar por algu\u00e9m ou por algo em que voc\u00ea confia. O exemplo cl\u00e1ssico \u00e9 o email que parece vir do seu banco e lhe pede para confirmar os dados num site que, afinal, \u00e9 falso. Mas o phishing vai muito al\u00e9m do email.<\/p>\n

A forma mais comum continua a ser por correio eletr\u00f3nico, com mensagens que imitam empresas, servi\u00e7os ou pessoas conhecidas. H\u00e1 tamb\u00e9m o phishing por mensagem de texto, por vezes chamado smishing, em que o engodo chega por SMS, e o phishing por telefone, ou vishing, em que algu\u00e9m liga a fazer-se passar por um t\u00e9cnico, por um funcion\u00e1rio do banco ou por uma autoridade. Existe ainda o phishing dirigido, mais perigoso, em que o atacante estuda a v\u00edtima e personaliza a mensagem com dados reais sobre ela, tornando o engano muito mais convincente.<\/p>\n

A raz\u00e3o pela qual estes esquemas funcionam t\u00e3o bem tem pouco a ver com tecnologia e tudo a ver com psicologia. O atacante apoia-se em alavancas humanas bem conhecidas. Cria urg\u00eancia, dizendo que a sua conta vai ser bloqueada se n\u00e3o agir j\u00e1, para que voc\u00ea reaja antes de pensar. Invoca autoridade, fazendo-se passar por uma entidade respeitada, porque tendemos a obedecer a quem parece ter poder. Provoca medo, com avisos de fraude ou de problemas legais, ou ent\u00e3o tenta o oposto, a gan\u00e2ncia, com pr\u00e9mios e oportunidades. E explora a confian\u00e7a, imitando ao pormenor o aspeto de uma marca conhecida. O elemento comum a tudo isto \u00e9 empurrar a v\u00edtima para uma decis\u00e3o r\u00e1pida e emocional, porque \u00e9 nesse estado que se baixam as defesas.<\/p>\n

T\u00e1ticas que deve conhecer<\/h2>\n

Os esquemas variam, mas assentam num repert\u00f3rio de truques que vale a pena reconhecer de antem\u00e3o.<\/p>\n

O endere\u00e7o enganador \u00e9 dos mais usados. O atacante regista um dom\u00ednio muito parecido com o verdadeiro, trocando uma letra, acrescentando uma palavra ou usando uma termina\u00e7\u00e3o diferente, de modo que um olhar distra\u00eddo n\u00e3o note a diferen\u00e7a. A p\u00e1gina para onde a liga\u00e7\u00e3o aponta pode ser uma c\u00f3pia perfeita do site leg\u00edtimo, cadeado inclu\u00eddo, porque, como se explica no artigo sobre HTTPS e TLS<\/a>, o cadeado garante que a liga\u00e7\u00e3o \u00e9 privada, n\u00e3o que o site seja honesto.<\/p>\n

A liga\u00e7\u00e3o ou o anexo perigoso s\u00e3o o passo seguinte. A mensagem convida-o a clicar num bot\u00e3o ou a abrir um ficheiro, que ou o leva a um formul\u00e1rio falso para roubar as credenciais, ou instala software malicioso no dispositivo. O pedido direto de informa\u00e7\u00e3o \u00e9 outra variante: o atacante pede-lhe, em texto, que confirme a palavra-passe, o c\u00f3digo de seguran\u00e7a do cart\u00e3o ou um c\u00f3digo de autentica\u00e7\u00e3o, coisas que um servi\u00e7o leg\u00edtimo nunca solicita desta forma.<\/p>\n

H\u00e1 ainda esquemas mais elaborados. A fraude do falso suporte t\u00e9cnico, em que algu\u00e9m o contacta a dizer que detetou um problema no seu computador e se oferece para o resolver, desde que lhe d\u00ea acesso. E a fraude dirigida a empresas, em que o atacante se faz passar por um superior ou por um fornecedor e pede, com ar de urg\u00eancia, uma transfer\u00eancia ou o envio de dados. O fio condutor \u00e9 sempre o mesmo: uma hist\u00f3ria plaus\u00edvel, uma raz\u00e3o para agir depressa e um pedido que, visto a frio, n\u00e3o faz sentido.<\/p>\n

Como reconhecer uma mensagem fraudulenta<\/h2>\n

A boa not\u00edcia \u00e9 que a maioria das tentativas de phishing deixa pistas, e treinar o olhar para elas trava quase tudo. Conv\u00e9m habituar-se a desconfiar perante este conjunto de sinais.<\/p>\n

Desconfie sempre da urg\u00eancia. Mensagens que insistem em que tem de agir j\u00e1, sob amea\u00e7a de bloqueio ou penaliza\u00e7\u00e3o, foram desenhadas para o impedir de pensar. Um servi\u00e7o s\u00e9rio d\u00e1-lhe tempo. Desconfie de qualquer pedido de informa\u00e7\u00e3o sens\u00edvel: bancos, plataformas e servi\u00e7os leg\u00edtimos n\u00e3o lhe pedem a palavra-passe nem c\u00f3digos por email, mensagem ou telefone. Se algu\u00e9m pede, \u00e9 quase certamente fraude.<\/p>\n

Olhe com aten\u00e7\u00e3o para o remetente e para as liga\u00e7\u00f5es. Verifique o endere\u00e7o de email completo, e n\u00e3o apenas o nome que aparece, porque \u00e9 f\u00e1cil falsificar o nome mas o endere\u00e7o real costuma denunciar o esquema. Antes de clicar numa liga\u00e7\u00e3o, passe o rato por cima dela, sem clicar, para ver o destino verdadeiro, e confirme que aponta para o dom\u00ednio que diz apontar. Repare tamb\u00e9m na qualidade da mensagem: erros de portugu\u00eas, sauda\u00e7\u00f5es gen\u00e9ricas como “Caro cliente” em vez do seu nome, e log\u00f3tipos ligeiramente errados s\u00e3o sinais frequentes, ainda que os esquemas mais cuidados estejam cada vez mais bem feitos.<\/p>\n

Acima de tudo, desconfie do inesperado. Uma fatura que n\u00e3o esperava, um pr\u00e9mio que n\u00e3o disputou, um problema numa conta que nem sabia que tinha. O contexto fora do normal \u00e9, s\u00f3 por si, motivo para parar. E h\u00e1 uma regra de ouro que resolve a esmagadora maioria dos casos: nunca use a liga\u00e7\u00e3o ou o n\u00famero que v\u00eam na mensagem suspeita. Se receia que haja mesmo um problema com a sua conta, feche a mensagem e contacte o servi\u00e7o pelos canais que voc\u00ea j\u00e1 conhece, escrevendo o endere\u00e7o do site \u00e0 m\u00e3o ou ligando para o n\u00famero oficial. Assim, mesmo que a mensagem fosse falsa, chega ao s\u00edtio verdadeiro.<\/p>\n

O que fazer se cair no engano<\/h2>\n

Acontece, e pode acontecer a qualquer um, sobretudo num dia de cansa\u00e7o ou de pressa. O que importa, nesse momento, \u00e9 agir depressa para limitar os danos, e n\u00e3o perder tempo com a vergonha. Quanto mais cedo reagir, menor \u00e9 o estrago.<\/p>\n

Se introduziu uma palavra-passe num site falso, v\u00e1 imediatamente ao servi\u00e7o verdadeiro e troque essa palavra-passe. Se a reutilizou noutros s\u00edtios, troque-a tamb\u00e9m em todos eles, porque o atacante vai com certeza experiment\u00e1-la noutro lado. Se a conta afetada permite, ative ali mesmo a autentica\u00e7\u00e3o de dois fatores, para que conhecer a palavra-passe deixe de ser suficiente para entrar nela.<\/p>\n

Se foram os dados do cart\u00e3o ou da conta banc\u00e1ria que revelou, contacte o banco sem demora. Os bancos t\u00eam canais pr\u00f3prios para estas situa\u00e7\u00f5es e podem bloquear o cart\u00e3o, vigiar movimentos e reverter opera\u00e7\u00f5es fraudulentas se forem avisados a tempo. Vigie de perto os extratos nos dias seguintes e ative alertas de movimentos, se ainda n\u00e3o os tiver. Se abriu um anexo ou instalou algo que n\u00e3o devia, desligue o dispositivo da Internet e passe-o por uma verifica\u00e7\u00e3o de seguran\u00e7a, e se for um equipamento de trabalho avise quem trata da inform\u00e1tica.<\/p>\n

Por fim, comunique o sucedido. Avisar a empresa que foi imitada, ou a entidade competente, ajuda a travar a campanha e a proteger outras pessoas. E n\u00e3o leve o caso como um sinal de ingenuidade pessoal: estes esquemas s\u00e3o desenhados por gente que vive disto e melhora com a pr\u00e1tica. Cair uma vez n\u00e3o o torna descuidado, e a melhor resposta \u00e9 transformar o susto num h\u00e1bito de desconfian\u00e7a saud\u00e1vel perante a pr\u00f3xima mensagem inesperada.<\/p>\n

Perguntas frequentes<\/h2>\n

Um email com o cadeado e o nome certo do meu banco pode mesmo ser falso?<\/h3>\n

Pode. O nome que aparece como remetente \u00e9 f\u00e1cil de falsificar, e a p\u00e1gina para onde a liga\u00e7\u00e3o leva pode ter o seu pr\u00f3prio cadeado v\u00e1lido sem deixar de ser fraudulenta. Em caso de d\u00favida, n\u00e3o use a liga\u00e7\u00e3o da mensagem: v\u00e1 ao site do banco escrevendo o endere\u00e7o \u00e0 m\u00e3o, ou ligue para o n\u00famero oficial que j\u00e1 conhece.<\/p>\n

Como distingo um pedido leg\u00edtimo de um phishing?<\/h3>\n

A regra mais \u00fatil \u00e9 esta: servi\u00e7os s\u00e9rios nunca lhe pedem a palavra-passe nem c\u00f3digos de seguran\u00e7a por email, mensagem ou telefone, e raramente exigem que aja em segundos. Sempre que uma mensagem combina pressa, amea\u00e7a e um pedido de dados sens\u00edveis, trate-a como fraude at\u00e9 prova em contr\u00e1rio, e confirme pelos canais oficiais.<\/p>\n

J\u00e1 cliquei numa liga\u00e7\u00e3o suspeita. Estou perdido?<\/h3>\n

N\u00e3o necessariamente, sobretudo se agir depressa. Se n\u00e3o chegou a introduzir dados, o risco principal \u00e9 ter sido descarregado algo malicioso, por isso passe o dispositivo por uma verifica\u00e7\u00e3o de seguran\u00e7a. Se introduziu uma palavra-passe, troque-a j\u00e1 no servi\u00e7o verdadeiro e em qualquer outro onde a reutilize. Se revelou dados banc\u00e1rios, contacte o banco sem demora.<\/p>\n

\n

Fontes<\/h2>\n