Phishing é um tipo de burla em que criminosos se fazem passar por uma pessoa ou organização de confiança para te levar a clicar num link, descarregar um ficheiro ou partilhar informações sensíveis, como palavras-passe ou números de cartão de crédito. Estas burlas chegam até nós através de praticamente todas as formas de comunicação de entrada, incluindo emails, mensagens de texto, publicações nas redes sociais, chamadas telefónicas ou mensagens diretas. As burlas também podem tentar vitimar-te através da tua caixa de correio física – embora isso seja normalmente classificado como fraude postal.  

Phishing é a forma mais comum de "engenharia social", que se refere a atacantes que dependem do engano em vez de competências de hacking para terem sucesso.  

A boa notícia: quando sabes o que procurar, as tentativas de phishing tornam-se mais fáceis de detetar. Isto também é verdade na nossa era de IA e deepfakes – embora os erros de ortografia e os erros gramaticais sejam menos comuns agora, as mensagens de phishing tentam sempre criar uma sensação de urgência.  

Como é uma mensagem de phishing? 

As mensagens de phishing estão hoje mais convincentes do que nunca, mas quase sempre tentam criar urgência e persuadir-te a fazer algo (como abrir um link, responder a uma mensagem de texto, descarregar um anexo ou introduzir uma palavra-passe). Mesmo na era da IA, há sinais de alerta a que podes estar atento.  

Ofertas demasiado boas para serem verdade

Muitas vezes, uma mensagem de phishing tenta inspirar uma sensação positiva de urgência: "Ganhaste um frigorífico portátil caríssimo!" Mensagens a prometer dinheiro grátis, prémios ou ofertas exclusivas são muitas vezes burlas, especialmente se não te lembrares de te ter inscrito. Em muitos casos, o endereço de email do remetente parecerá muito pouco oficial, por exemplo, usando muitos números e um domínio de email estranho. Mas apaga e denuncia qualquer mensagem inesperada que pareça demasiado boa para ser verdade.

Linguagem urgente ou ameaçadora

Os burlões também usam sensações negativas de urgência. Tentam apressar-te com mensagens como:

• “A tua conta será bloqueada!”

• “Age agora para evitar penalizações!”

• “Estás a ser investigado!”

Ignora, apaga e denuncia mensagens como estas – organizações, empresas e entidades governamentais reais não te vão contactar por email desta forma.

Pedidos de informações sensíveis

Organizações legítimas não vão pedir palavras-passe, números da Segurança Social ou dados financeiros por email ou SMS. Se receberes uma mensagem estranha de uma organização real, contacta-a diretamente para obter mais detalhes (ou seja, não através das informações de contacto na mensagem), como o seu website oficial.

Pedidos inesperados

Tem extrema cautela com qualquer pedido inesperado:

• Faturas que não reconheces

• Pedidos súbitos de pagamento

• Mensagens a pedir cartões-presente ou transferências bancárias

Nunca envies dinheiro em formas de pagamento estranhas, como criptomoeda, cartões-presente, transferências bancárias ou dinheiro enviado por um estafeta – qualquer pedido de pagamento deste tipo costuma ser uma burla.

Endereços de remetente suspeitos

Olha com atenção para o email do remetente. Pequenos erros ortográficos ou domínios invulgares (como pavpal.com em vez de paypal.com) são um grande sinal de alerta.

Ligações ou anexos estranhos

Em portáteis ou computadores de secretária, normalmente podes passar o rato por cima das ligações antes de clicar para ver o destino real

Nunca descarregues anexos que não estavas à espera de receber, mesmo que venham de alguém que conheces. Confirma de forma independente que é seguro.

Escrita ou formatação fracas

Embora as mensagens de phishing antes fossem fáceis de detetar, muitas agora usam linguagem polida graças à IA. Mesmo assim, uma formulação estranha ou inconsistências devem fazer o teu radar de phishing disparar.

Saudações genéricas

Mensagens que começam com “Estimado Cliente” em vez do teu nome podem indicar uma tentativa de phishing em massa. Mais uma vez, isto é menos comum agora com a IA, mas continua a ser algo a que deves estar atento.

Porque é que as burlas de phishing parecem tão urgentes?

Uma sensação de urgência é um dos maiores sinais de alerta de phishing.

Os burlões querem que ajoel rapidamente antes de teres tempo para pensar.

Podem criar urgência de duas formas principais.

Urgência positiva

• “Ganhaste um prémio!”

• “Reclama já a tua recompensa!”

• “Oferta por tempo limitado!”

Urgência negativa

• “A tua conta foi pirateada!”

• “A IRS está a investigar-te!”

• “Serás preso se não responderes!”

Pensa antes de clicar

Estas mensagens são concebidas para desencadear pânico ou entusiasmo, ambos podendo levar a decisões rápidas e arriscadas.

Realidade: Organizações legítimas, especialmente entidades governamentais como a polícia local ou a IRS, não te contactam desta forma para assuntos sérios.

Tira alguns segundos para cada mensagem

Uma das formas mais simples de evitar phishing é fazer uma pausa antes de agir. Mesmo demorando 5 a 9 segundos com cada email, consegues acalmar-te e pensar com mais clareza. Sim, os segundos somam-se, mas a tranquilidade vale bem a pena.

Antes de clicares numa ligação, responderes ou descarregares algo, pergunta a ti próprio:

• Eu estava à espera desta mensagem?

• Há algo que pareça estranho?

• O remetente é mesmo quem diz ser?

• Estou a sentir que preciso agir rapidamente?

Se não tens a certeza, não interajas.

Uma boa opção é pedir uma segunda opinião a um colega, amigo ou familiar.

Nenhuma mensagem legítima exige uma resposta imediata.

O que é spear phishing?

Alguns ataques de phishing são mais direcionados. Isto chama-se spear phishing (pensa em apontar uma lança especial para um peixe saboroso no rio).

Nestes casos, os burlões podem já saber detalhes sobre ti, como:

• O teu nome

• O teu emprego ou empresa

• O teu endereço de email

• Nomes de colegas ou amigos

Os burlões usam esta informação, muitas vezes recolhida nas redes sociais ou em fontes públicas, para tornar a sua mensagem mais credível.

Mas podes desviar-te dessas lanças!

Mesmo que uma mensagem pareça pessoal, mantém-te cauteloso, especialmente se incluir urgência ou pedidos invulgares.

Provavelmente o CEO da tua empresa não precisa que compres cartões-presente.

O que fazer se receberes uma mensagem de phishing

Se achas que detetaste uma tentativa de phishing:

1. Não cliques nem respondas

Não cliques em ligações, não descarregues anexos e não respondas. Até ligações ou botões de “cancelar subscrição” podem ser maliciosos.

2. Denuncia a mensagem

No trabalho: Denuncia-a à tua equipa de TI ou de segurança

Em casa: Usa a funcionalidade “Denunciar phishing” do teu fornecedor de email

• Denuncia um phishing no Outlook. 

• Denuncia um phishing no Gmail.   

• Denuncia um phishing no Mac Mail. 

3. Bloqueia o remetente

Impedir mensagens futuras da mesma origem.

4. Apaga a mensagem

Remove-a da tua caixa de entrada depois de a denunciares. Isto impede que a cliques acidentalmente no futuro.

Como proteger o teu oceano digital contra danos de phishing 

Os emails de phishing podem escapar aos filtros de spam, por isso é importante criar bons hábitos de segurança que te ajudem a manteres-te resiliente mesmo que caias numa mensagem de phishing: 

Usa autenticação multifator (MFA) 

Adicionar um segundo passo de verificação torna muito mais difícil para os atacantes acederem às tuas contas. Nunca dês a ninguém o teu código MFA! 

Cria palavras-passe fortes e únicas 

Usa uma palavra-passe diferente para cada conta, idealmente com pelo menos 16 caracteres. Gestores de palavras-passe são uma enorme ajuda! 

Mantém o software atualizado 

As atualizações corrigem vulnerabilidades de segurança que os burlões tentam explorar. 

Porque é que denunciar phishing importa 

Denunciar phishing não serve apenas para te proteger – ajuda a proteger toda a gente. 

Os fornecedores de email e as equipas de segurança usam os relatórios para: 

• Bloquear mensagens fraudulentas 

• Encerrar remetentes maliciosos 

• Melhorar sistemas de deteção 

O teu relatório pode travar o próximo ataque! 

Uma breve pausa é a tua melhor defesa contra phishing 

As burlas de phishing dependem de reações rápidas. A tua melhor defesa são alguns segundos de reflexão. 

Se algo parecer estranho, confia nos teus instintos. Faz uma pausa, confirma tudo novamente e, na dúvida, não cliques! Para mais dicas de segurança online, subscreve a nossa newsletter por email! 

Perguntas frequentes 

O que é phishing em termos simples? 

Phishing é quando burlões usam comunicação digital (como email ou SMS) para te tentar enganar e fazer com que cliques num link, descarregues um anexo ou partilhes informações pessoais. 

Como podes perceber se uma mensagem é phishing? 

Mensagens que criam urgência e mensagens inesperadas (ou ambas!) são muitas vezes phishing. Também podes procurar links suspeitos e endereços de remetente que não correspondem à empresa. 

O que deves fazer se clicares num link de phishing? 

Denuncia o incidente à tua equipa de TI ou de segurança se estiveres no trabalho. Desliga-te da internet, executa uma análise de segurança usando o software de segurança do teu dispositivo e altera quaisquer palavras-passe que tenhas enviado ou que aches que possam ter sido afetadas. 

O phishing pode acontecer através de mensagens de texto ou redes sociais? 

Sim. O phishing pode acontecer por SMS (“smishing”), chamadas telefónicas (“vishing”), redes sociais ou mensagens diretas, não apenas por email. 

Recursos adicionais

• Vê o nosso webinar on-demand "Deteta o phishing antes que ele te apanhe"

• Como denunciar phishing no Gmail

• Aprende a ser mais esperto do que as burlas de phishing com dicas de cibersegurança da Accenture

• Recupera de uma burla

• Recebe alertas de burla do Better Business Bureau