Mensagens falsas de bancos e do governo: o golpe por e-mail e SMS

Um e-mail urgente do seu banco anuncia a suspensão iminente da sua conta. Uma SMS da Segurança Social (PT) ou do INSS (BR) promete-lhe um reembolso inesperado. Estas comunicações, de aparência oficial, são muitas vezes tentativas de fraude sofisticadas que visam roubar-lhe informações pessoais ou dinheiro. Conhecida como phishing por e-mail ou smishing por SMS, esta técnica é uma das mais difundidas na Internet. Trata-se de uma ameaça que explora a confiança que depositamos nas instituições para criar um sentimento de urgência ou de ganho fácil, levando-nos a agir sem pensar. Compreender os seus mecanismos e saber identificar os sinais de alerta é essencial para proteger os seus dados e as suas finanças.

O que é o phishing e o smishing?

O phishing é uma técnica fraudulenta que consiste em fazer-se passar por um terceiro de confiança para obter informações pessoais. Os cibercriminosos enviam e-mails que imitam na perfeição os de organizações conhecidas: bancos, autoridades fiscais (Autoridade Tributária em Portugal, Receita Federal no Brasil), serviços de segurança social (Segurança Social em Portugal, INSS no Brasil), fornecedores de energia ou até mesmo sites de comércio eletrónico. O smishing é simplesmente a variante deste golpe que utiliza as SMS como canal de comunicação. Em ambos os casos, o objetivo final permanece o mesmo: levá-lo a clicar num link malicioso ou a abrir um anexo armadilhado.

Estas mensagens utilizam fortes gatilhos psicológicos para contornar a sua vigilância. Frequentemente, usam pretextos alarmistas ou aliciantes para o levar a agir de imediato.

• A segurança da sua conta: “Foi detetada uma ligação suspeita”, “A sua conta vai ser bloqueada”, “Por favor, confirme as suas informações por motivos de segurança”.
• Um problema administrativo: “A sua última fatura não foi paga”, “É necessária a atualização do seu Cartão de Cidadão (PT) / Cartão Nacional de Saúde (BR)”, “A sua encomenda não pôde ser entregue”.
• O isco do ganho: “Tem direito a um reembolso de impostos”, “Uma transferência está a seu favor”, “Ganhou um prémio num sorteio”.
• A conformidade com novas regras: “Nova regulamentação: atualize o seu registo de cliente”, “O seu software de segurança está desatualizado”.

Assim que clica no link, é redirecionado para um site falso, uma cópia quase perfeita do site oficial, onde lhe será pedido para introduzir os seus nomes de utilizador, palavras-passe, números de cartão de crédito ou outros dados confidenciais.

Como reconhecer uma mensagem fraudulenta?

Embora os burlões aperfeiçoem os seus métodos, vários indícios permitem desmascarar o logro. O segredo é manter a calma e analisar metodicamente a mensagem recebida antes de tomar qualquer medida. Uma inspeção atenta revela quase sempre anomalias.

O endereço do remetente: o primeiro indício

Este é o reflexo mais importante a ter. Num e-mail, não confie no nome exibido, que pode ser facilmente falsificado. Verifique o endereço de e-mail completo. Os burlões utilizam endereços que se assemelham aos verdadeiros, mas que contêm variações subtis. Por exemplo, `servico-cliente@info-bancoreal.com` em vez de `…@bancoreal.pt`. No caso das SMS, desconfie de números desconhecidos ou de nomes de remetentes que possam ser falsificados. As entidades oficiais raramente utilizam números de telemóvel/celular convencionais para as suas comunicações oficiais.

O sentimento de urgência e as ameaças

As mensagens fraudulentas procuram fazê-lo entrar em pânico. Contêm expressões como “ação imediata necessária”, “sem resposta da sua parte dentro de 24 horas” ou “a sua conta será permanentemente encerrada”. Uma instituição legítima nunca o pressionará desta forma por e-mail ou SMS para obter informações sensíveis. Os procedimentos oficiais seguem canais de comunicação seguros e deixam sempre um prazo de resposta razoável.

Os erros de ortografia e de sintaxe

Embora cada vez menos frequente, este critério continua a ser um bom indicador. Muitas mensagens de phishing são traduzidas automaticamente ou redigidas à pressa. Erros de gramática, de conjugação ou formulações de frases desajeitadas devem despertar imediatamente as suas suspeitas. Uma comunicação oficial de um grande banco ou de uma entidade pública é geralmente revista e validada e, por isso, isenta deste tipo de erros.

Os links suspeitos e os anexos

Nunca clique cegamente num link. Num computador, passe o rato sobre ele (sem clicar) para exibir o URL de destino real no canto inferior do seu navegador. Se o endereço que aparece for estranho, cheio de números ou não corresponder ao site oficial da organização, é um golpe. Desconfie também dos anexos, especialmente se não estiver à espera de nenhum. Podem conter software malicioso (vírus, ransomware) concebido para infetar o seu dispositivo. Os formatos `.zip`, `.exe` ou mesmo documentos do Word com macros são particularmente arriscados.

A falta de personalização

Uma mensagem autêntica do seu banco ou de uma entidade pública dirigir-se-á geralmente a si utilizando o seu nome e apelido/sobrenome completos. Um e-mail que começa com uma fórmula vaga como “Caro cliente”, “Olá” ou “Caro utilizador” é suspeito. No entanto, tenha atenção, pois alguns ataques mais direcionados (spear phishing) podem conter as suas informações pessoais, recuperadas de fugas de dados anteriores. A presença do seu nome não é, portanto, uma garantia absoluta de autenticidade.

O que fazer se recebeu uma mensagem suspeita?

A reação correta é a prudência e a inação. Não ceda ao pânico e siga um procedimento simples para se proteger e ajudar a combater estas fraudes.

• Não clique em nenhum link e não abra nenhum anexo.
• Nunca responda à mensagem. Isso confirmaria aos burlões que o seu endereço de e-mail ou número de telefone está ativo.
• Apague a mensagem da sua caixa de entrada e da sua reciclagem/lixo para evitar qualquer manipulação acidental posterior.
• Denuncie a tentativa de fraude. Para os e-mails, pode denunciá-los na plataforma do Centro Nacional de Cibersegurança (PT) ou no portal do CERT.br (BR). Para as SMS, em Portugal, pode usar o mesmo portal do CNCS; no Brasil, pode encaminhar a mensagem gratuitamente para o 7726, a plataforma de luta contra spam por SMS.
• Contacte a organização em questão através de um canal oficial se tiver dúvidas. Não utilize os dados de contacto presentes na mensagem suspeita. Aceda ao site oficial através do seu motor de busca, utilize a aplicação móvel ou ligue para o número de telefone que consta nos seus documentos oficiais (extrato de conta, etc.).

E se caiu na armadilha?

Se clicou num link e forneceu informações, é crucial agir rapidamente para limitar os danos. A rapidez da sua reação pode fazer toda a diferença.

Siga estes passos sem demora:

• Altere imediatamente a palavra-passe da conta em questão (banco, e-mail, etc.) и de todos os outros sites onde utiliza a mesma palavra-passe.
• Cancele o seu cartão bancário. Contacte o seu banco sem demora para bloquear o seu cartão e comunicar a operação fraudulenta. A maioria dos bancos oferece um serviço de cancelamento 24 horas por dia, 7 dias por semana.
• Vigie as suas contas de muito perto nos dias e semanas seguintes para detetar qualquer transação suspeita.
• Apresente queixa na esquadra da polícia (Polícia de Segurança Pública ou Guarda Nacional Republicana em Portugal; Polícia Civil ou Federal no Brasil) mais próxima. Este é um passo indispensável para qualquer procedimento de eventual reembolso.
• Faça uma denúncia na plataforma governamental Centro Nacional de Cibersegurança (PT) ou no portal CERT.br (BR). Aí encontrará ajuda e conselhos adaptados à sua situação. Para conteúdos ilícitos, pode também utilizar o portal Internet Segura (PT) ou o portal da SaferNet (BR).

Conclusão

As tentativas de phishing e smishing multiplicam-se e tornam-se mais complexas, explorando a nossa crescente dependência dos serviços online. A melhor defesa continua a ser uma vigilância constante e uma boa dose de ceticismo perante qualquer comunicação inesperada ou alarmista. Lembre-se de que nenhum banco ou entidade séria lhe pedirá para fornecer informações confidenciais como a sua palavra-passe, os seus dados bancários completos ou um código de segurança por e-mail ou SMS. Ao adotar os reflexos corretos и ao saber como reagir, reduzirá consideravelmente o risco de se tornar uma vítima.

Para aprofundar, convidamo-lo a consultar os nossos guias completos sobre proteção online. Descubra como se proteger de todas as formas de burlas e os pontos-chave a respeitar para navegar com toda a segurança.

• Fraudes, Golpes e Burlas: Como Proteger-se e Reagir!
• Os pontos-chave a respeitar para evitar a maioria dos golpes online!

Artigo de : René Ronse | Directrizes de revisão | Consultores de auditoria
Sobre o autor: René Ronse, responsável pelo site ArnaqueOuFiable.com. Especialista em cibersegurança do consumidor, deteção de fraudes online, transparência de produtos e conformidade digital. Tem mais de 20 anos de experiência na análise de mecanismos de assinatura ocultos, termos e condições ilegíveis, táticas de venda agressivas e práticas comerciais enganosas na web.
Última atualização em 18 Dezembro 2025.
Este artigo também está disponível em : Français - English - Deutsch - Español - Italiano - Nederlands