Phishing é uma tentativa de enganar uma pessoa para revelar dados sensíveis, como passwords, códigos de autenticação, dados bancários ou informação pessoal.

O que fazer se cliquei num link de phishing?

Deves mudar a password no site oficial, terminar sessões ativas, ativar 2FA, contactar o banco se partilhaste dados financeiros e analisar o dispositivo com uma ferramenta de segurança.

O phishing também acontece por SMS ou WhatsApp?

Sim. Mensagens falsas por SMS, WhatsApp ou redes sociais são comuns e podem imitar bancos, transportadoras, entidades públicas ou familiares.

Como Reconhecer um Email de Phishing

Q: Como reconhecer um email de phishing?

Os sinais mais comuns são urgência exagerada, remetente suspeito, links estranhos, erros no texto, anexos inesperados e pedidos de dados sensíveis.

Ideia principal: phishing é quando alguém tenta enganar-te para revelares dados sensíveis, como passwords, códigos de autenticação, dados bancários ou informação pessoal. Muitas vezes parece uma mensagem normal — e é isso que o torna perigoso.

O que é Phishing?

Phishing é uma técnica de engenharia social em que um atacante se faz passar por uma entidade legítima — banco, transportadora, serviço público, loja online, rede social ou plataforma de streaming — para te levar a clicar num link, abrir um anexo ou introduzir dados numa página falsa.

O objetivo pode ser roubar a tua password, aceder ao email, capturar dados de cartão, instalar malware ou convencer-te a fazer uma transferência. Em muitos casos, a mensagem tenta criar urgência: “a tua conta vai ser suspensa”, “tens uma encomenda retida” ou “confirma já os teus dados”.

Exemplos comuns em Portugal

Em Portugal, muitos esquemas de phishing tentam imitar entidades conhecidas para parecerem credíveis. Os exemplos mais comuns incluem:

CTT e transportadoras: mensagens sobre encomendas retidas, taxas em falta ou moradas incompletas.
Finanças: avisos falsos sobre reembolsos, dívidas, notificações ou atualização de dados fiscais.
Bancos: pedidos para desbloquear conta, confirmar cartão, validar acesso ou atualizar dados.
MB Way: pedidos para “confirmar pagamento”, associar número ou autorizar uma operação falsa.
Operadoras: faturas falsas, prémios, atualizações de contrato ou campanhas falsas.
Redes sociais: avisos de login suspeito ou mensagens falsas para recuperar conta.

8 sinais de alerta num email suspeito

Urgência ou ameaça

Mensagens como “a tua conta será suspensa”, “tens 24 horas” ou “ação imediata necessária” tentam pressionar-te para agir sem pensar.

Remetente estranho

O nome pode parecer legítimo, mas o endereço real pode ser suspeito. Confirma sempre o email completo do remetente.

Links para domínios parecidos

Domínios como ctt-rastreio.net ou financas-pagamento.com não são equivalentes aos sites oficiais. Pequenas diferenças podem indicar fraude.

Erros de escrita ou texto estranho

Erros, frases mal traduzidas ou linguagem pouco natural continuam a ser sinais comuns, embora ataques mais sofisticados já sejam bem escritos.

Pedido de passwords ou códigos

Nenhuma entidade séria deve pedir a tua password, PIN ou códigos de autenticação por email, SMS ou WhatsApp.

Anexos inesperados

Ficheiros ZIP, executáveis, documentos com macros ou PDFs suspeitos podem ser usados para instalar malware.

Saudações genéricas

Expressões como “Caro cliente” ou “Estimado utilizador” podem indicar mensagem em massa, especialmente quando o serviço costuma tratar-te pelo nome.

Pedidos para confirmar dados

Se precisares de atualizar informação, entra diretamente no site oficial. Não uses links recebidos por mensagem.

Phishing por SMS e WhatsApp

O phishing não acontece apenas por email. Quando o ataque chega por SMS, costuma chamar-se smishing. Quando chega por chamada telefónica, pode ser chamado vishing. No WhatsApp, Telegram ou Messenger, o objetivo é o mesmo: levar-te a clicar, partilhar códigos ou confiar numa identidade falsa.

Desconfia especialmente de mensagens que dizem que tens uma encomenda parada, um pagamento pendente, uma multa, uma conta bloqueada ou um familiar a pedir dinheiro com urgência. Antes de responder, confirma por outro canal.

Atenção: nunca partilhes códigos de autenticação, códigos MB Way, códigos de recuperação ou passwords por mensagem. Mesmo que a pessoa pareça ser conhecida, confirma primeiro por chamada ou contacto direto.

Como confirmar se um link é legítimo

Antes de clicar, pára alguns segundos e verifica estes pontos:

Confirma o domínio. O domínio oficial deve estar correto, sem palavras extra, letras trocadas ou terminações estranhas.
Não confies apenas no logótipo. Imagens, cores e nomes de marcas podem ser copiados facilmente.
Passa o rato sobre o link. No computador, vê o URL real antes de clicar.
Evita links encurtados. Links muito curtos escondem o destino real.
Entra pelo site oficial. Quando há dúvida, escreve o endereço manualmente no browser.

O que fazer se receberes um email suspeito

Não cliques em links, nem mesmo para “cancelar subscrição”.
Não abras anexos que não esperavas receber.
Não respondas com dados pessoais, passwords ou códigos.
Vai diretamente ao site oficial se precisares de confirmar alguma coisa.
Marca como phishing no Gmail, Outlook ou outro cliente de email.
Se for no trabalho, avisa o IT ou a equipa responsável pela segurança.

Proteção extra contra páginas falsas

Um gestor de passwords ajuda porque só preenche credenciais quando o domínio corresponde ao site correto.

Ver NordPass

E se já clicaste?

Se clicaste num link e introduziste dados, age rapidamente. Quanto mais cedo bloqueares o acesso, menor o risco.

Muda a password imediatamente no site oficial da plataforma afetada.
Ativa autenticação de dois fatores, preferencialmente com app autenticadora.
Termina sessões ativas em dispositivos que não reconheces.
Contacta o banco se partilhaste dados de cartão, códigos MB Way ou credenciais bancárias.
Analisa o dispositivo se abriste anexos ou instalaste ficheiros.
Reporta a mensagem ao serviço usado e, se aplicável, à tua organização.

Como reduzir o risco no dia a dia

Usa passwords únicas para cada conta importante.
Ativa 2FA no email, banco, redes sociais e serviços cloud.
Mantém browser e sistema atualizados.
Evita instalar extensões desconhecidas no browser.
Não guardes passwords em documentos soltos ou notas sem proteção.
Desconfia de mensagens urgentes, mesmo que pareçam vir de marcas conhecidas.

Camada anti-malware: se costumas receber muitos anexos, descarregar ficheiros ou usar vários dispositivos, uma solução como o Bitdefender pode ajudar a bloquear páginas maliciosas, anexos perigosos e tentativas de infeção.

FAQ — Perguntas Frequentes

Phishing é sempre por email?

Não. Também pode acontecer por SMS, WhatsApp, redes sociais, chamadas telefónicas, anúncios falsos ou páginas falsas de login.

Como sei se uma mensagem dos CTT ou Finanças é falsa?

Confirma o domínio, evita links recebidos por mensagem e entra diretamente no site oficial. Desconfia de urgência, taxas inesperadas e pedidos de dados sensíveis.

Um gestor de passwords protege contra phishing?

Ajuda bastante, porque tende a preencher credenciais apenas no domínio correto. Ainda assim, deves continuar atento a links falsos e mensagens suspeitas.

O que devo fazer se partilhei a password?

Muda a password imediatamente, termina sessões ativas, ativa 2FA e verifica atividade recente da conta.

Resumo rápido

Desconfia de mensagens urgentes, ameaçadoras ou demasiado boas para ser verdade.
Confirma sempre o domínio antes de introduzir passwords.
Não partilhes códigos de autenticação por email, SMS ou WhatsApp.
Usa passwords únicas e ativa 2FA nas contas importantes.
Se clicaste num link falso, muda a password e termina sessões ativas.

Leitura recomendada: Como os hackers roubam passwords · Como criar passwords seguras · Como proteger os teus dados pessoais

Como Reconhecer um Emailde Phishing