Phishing é um tipo de burla em que criminosos se fazem passar por uma pessoa ou organização de confiança para o levar a clicar numa ligação, transferir um ficheiro ou partilhar informações sensíveis, como palavras-passe ou números de cartão de crédito. Estas burlas chegam até nós através de praticamente todas as formas de comunicação de entrada, incluindo e-mails, mensagens de texto, publicações nas redes sociais, chamadas telefónicas ou mensagens diretas. As burlas também podem tentar vitimizá-lo através da sua caixa de correio física – embora isso seja normalmente classificado como fraude postal.  

Phishing é a forma mais comum de "engenharia social", que se refere a atacantes que recorrem ao engano em vez de a competências de hacking para terem sucesso.  

A boa notícia: assim que souber o que procurar, as tentativas de phishing tornam-se mais fáceis de detetar. Isto é verdade até na nossa era de IA e deepfakes – embora os erros de digitação e gramaticais sejam agora menos comuns, as mensagens de phishing tentam sempre criar um sentimento de urgência.  

Como é que uma mensagem de phishing é parecida? 

As mensagens de phishing são hoje mais convincentes do que nunca, mas quase sempre tentam criar urgência e convencer você a fazer algo (como abrir uma ligação, responder a uma mensagem, transferir um anexo ou introduzir uma palavra-passe). Mesmo na era da IA, pode estar atento a sinais de alerta.  

Ofertas demasiado boas para ser verdade

Frequentemente, uma mensagem de phishing tenta inspirar um sentimento positivo de urgência: "Ganhou um cooler caro!" Mensagens que prometem dinheiro grátis, prémios ou ofertas exclusivas são muitas vezes burlas, especialmente se não se lembrar de se ter inscrito. Em muitos casos, o endereço de e-mail do remetente parecerá muito pouco oficial, como usar muitos números e um domínio de e-mail estranho. Mas elimine e denuncie qualquer mensagem inesperada que pareça demasiado boa para ser verdade.

Linguagem urgente ou ameaçadora

Os burlões também usam sentidos negativos de urgência. Tentam apressá-lo com mensagens como:

• “A sua conta será bloqueada!”

• “Aja já para evitar penalizações!”

• “Está sob investigação!”

Ignore, elimine e denuncie mensagens assim – organizações, empresas e agências governamentais reais não o contactarão por e-mail desta forma.

Pedidos de informações sensíveis

Organizações legítimas não vão pedir palavras-passe, números da Segurança Social ou detalhes financeiros por e-mail ou mensagem de texto. Se receber uma mensagem estranha de uma organização real, contacte-a diretamente para mais detalhes (ou seja, não através das informações de contacto na mensagem), como o seu website oficial.

Pedidos inesperados

Esteja extremamente cauteloso com qualquer pedido inesperado:

• Faturas que não reconhece

• Pedidos súbitos de pagamento

• Mensagens a pedir cartões-presente ou transferências bancárias

Nunca envie dinheiro em formas de pagamento estranhas, como criptomoeda, cartões-presente, transferências bancárias ou dinheiro enviado por estafeta – qualquer pedido de pagamento assim é normalmente uma burla.

Endereços de remetente suspeitos

Observe atentamente o e-mail do remetente. Pequenos erros ortográficos ou domínios invulgares (como pavpal.com em vez de paypal.com) são um grande sinal de alerta.

Ligações ou anexos estranhos

Em portáteis ou computadores de secretária, normalmente pode passar o rato sobre as ligações antes de clicar para ver o destino real

Nunca transfira anexos que não esperava, mesmo de alguém que conhece. Verifique de forma independente que é seguro.

Escrita ou formatação deficientes

Embora as mensagens de phishing antes fossem fáceis de detetar, muitas agora usam linguagem polida graças à IA. Ainda assim, formulações estranhas ou inconsistências devem fazer soar o seu alarme de phishing.

Saudações genéricas

Mensagens que começam com “Caro Cliente” em vez do seu nome podem indicar uma tentativa massiva de phishing. Mais uma vez, isto é menos comum agora com IA, mas ainda assim é algo a ter em conta.

Porque é que as burlas de phishing parecem tão urgentes?

Um sentimento de urgência é um dos maiores sinais de aviso de phishing.

Os burlões querem que aja depressa antes de ter tempo para pensar.

Podem criar urgência de duas formas principais.

Urgência positiva

• “Ganhou um prémio!”

• “Reclame o seu prémio agora!”

• “Oferta por tempo limitado!”

Urgência negativa

• “A sua conta foi pirateada!”

• “O IRS está a investigá-lo!”

• “Vai ser preso se não responder!”

Pense antes de clicar

Estas mensagens são concebidas para desencadear pânico ou entusiasmo, os quais podem levar a decisões rápidas e arriscadas.

Verificação da realidade: As organizações legítimas, especialmente agências governamentais como a polícia local ou o IRS, não o contactam desta forma para assuntos sérios.

Demore alguns segundos com cada mensagem

Uma das formas mais simples de evitar phishing é fazer uma pausa antes de agir. Até demorar 5 a 9 segundos com cada e-mail pode acalmá-lo e ajudá-lo a pensar com mais clareza. Sim, os segundos acumulam-se, mas a tranquilidade vale bem a pena.

Antes de clicar numa ligação, responder ou transferir qualquer coisa, pergunte a si próprio:

• Estava à espera desta mensagem?

• Há alguma coisa que pareça estranha?

• O remetente é quem afirma ser?

• Estou a sentir que preciso de agir depressa?

Se não tiver a certeza, não interaja.

Uma ótima atitude é pedir uma segunda opinião a um colega, amigo ou familiar.

Nenhuma mensagem legítima exige uma resposta imediata.

O que é spear phishing?

Alguns ataques de phishing são mais direcionados. Isto chama-se spear phishing (pense em apontar uma lança especial a um peixe saboroso no rio).

Nestes casos, os burlões podem já conhecer detalhes sobre si, como:

• O seu nome

• O seu emprego ou empresa

• O seu endereço de e-mail

• Nomes de colegas ou amigos

Os burlões usam esta informação, muitas vezes recolhida nas redes sociais ou em fontes públicas, para tornar a sua mensagem mais credível.

Ainda assim, pode fugir às lanças!

Mesmo que uma mensagem pareça pessoal, mantenha-se cauteloso, especialmente se incluir urgência ou pedidos invulgares.

O CEO da sua empresa provavelmente não precisa de si para comprar cartões-presente.

O que fazer se receber uma mensagem de phishing

Se acha que detetou uma tentativa de phishing:

Como proteger o seu oceano digital contra danos causados por phishing 

As mensagens de phishing podem passar pelos filtros de spam, por isso é importante criar bons hábitos de segurança que o ajudem a manter-se resiliente mesmo que caia numa mensagem de phishing: 

Use autenticação multifator (MFA) 

Adicionar uma segunda etapa de verificação torna muito mais difícil para os atacantes acederem às suas contas. Nunca dê a ninguém o seu código MFA! 

Crie palavras-passe fortes e exclusivas 

Use uma palavra-passe diferente para cada conta, idealmente com pelo menos 16 caracteres. Os gestores de palavras-passe são uma grande ajuda! 

Mantenha o software atualizado 

As atualizações corrigem vulnerabilidades de segurança que os burlões tentam explorar. 

Porque é importante denunciar phishing 

Denunciar phishing não é apenas para se proteger – ajuda a proteger toda a gente. 

Os fornecedores de e-mail e as equipas de segurança usam os relatórios para: 

• Bloquear mensagens fraudulentas 

• Encerrar remetentes maliciosos 

• Melhorar os sistemas de deteção 

O seu relatório pode impedir o próximo ataque! 

Uma breve pausa é a sua melhor defesa contra o phishing 

As burlas de phishing dependem de reações rápidas. A sua melhor defesa é pensar durante alguns segundos. 

Se algo lhe parecer estranho, confie no seu instinto. Pare um momento, verifique novamente e, em caso de dúvida, não clique! Para mais dicas de segurança online, subscreva a nossa newsletter por e-mail! 

FAQs 

O que é phishing em termos simples? 

Phishing é quando os burlões usam comunicação digital (como e-mail ou mensagem de texto) para tentar levá-lo a clicar numa ligação, transferir um anexo ou partilhar informações pessoais. 

Como pode saber se uma mensagem é phishing? 

Mensagens que criam urgência e mensagens inesperadas (ou ambas!) são muitas vezes phishing. Também pode procurar ligações suspeitas e endereços de remetente que não correspondam à empresa. 

O que deve fazer se clicar numa ligação de phishing? 

Reporte o incidente à sua equipa de TI ou de segurança se estiver no trabalho. Desligue-se da Internet, execute uma análise de segurança usando o software de segurança do seu dispositivo e altere quaisquer palavras-passe que tenha enviado ou que acredite, de outra forma, poderem ser afetadas. 

O phishing pode acontecer através de mensagens de texto ou redes sociais? 

Sim. O phishing pode acontecer por SMS (“smishing”), chamadas telefónicas (“vishing”), redes sociais ou mensagens diretas, e não apenas por e-mail. 

Recursos adicionais

• Veja o nosso webinar sob demanda "Detete o phishing antes que ele o apanhe"

• Como denunciar phishing no Gmail

• Saiba como ser mais esperto do que as burlas de phishing com dicas de cibersegurança da Accenture

• Recupere de uma burla

• Receba alertas de burlas do Better Business Bureau