🎣 Guia · Phishing

Como Reconhecer um Email
de Phishing

Atualizado em Dezembro de 2025 · Leitura: 7 min

Sabes que? Em 2024, 36% de todas as violações de dados começaram com um email de phishing. Em Portugal, os ataques mais comuns imitam CTT, Finanças, CGD e NOS.

O que é Phishing?

Phishing (do inglês "fishing" — pescar) é uma técnica de engenharia social em que um atacante se faz passar por uma entidade legítima (banco, correios, serviço público) para te levar a revelar informação sensível — passwords, dados de cartão, número de contribuinte.

8 Sinais de Alerta num Email Suspeito

1
Urgência ou ameaça

"A tua conta será suspensa em 24 horas." "Ação imediata necessária." Phishing usa pressão para te impedir de pensar com calma.

2
Endereço do remetente suspeito

O nome pode dizer "CGD - Banco" mas o email pode ser "cgd@servidor-random.com". Verifica sempre o endereço completo do remetente.

3
Links para domínios estranhos

Passa o rato por cima do link (sem clicar!) e vê o URL real. "ctt-rastreio.net" não é o CTT. O CTT é "ctt.pt".

4
Erros de ortografia e gramática

Textos com erros evidentes, mistura de maiúsculas/minúsculas ou tradução automática são sinais frequentes, embora os ataques mais sofisticados já não tenham este problema.

5
Pedido de informação sensível por email

Nenhum banco, entidade pública ou empresa legítima te pede a password, número de cartão ou PIN por email.

6
Anexos inesperados

Ficheiros .zip, .exe, .doc com macros, ou PDFs de fontes desconhecidas podem conter malware. Não abras anexos que não pediste.

7
Saudações genéricas

"Caro cliente" ou "Prezado utilizador" em vez do teu nome. Entidades legítimas costumam saber o teu nome.

8
Pedido para confirmar dados "por segurança"

"Para verificar a tua identidade, confirma os teus dados." Se precisares de confirmar dados, faz-o diretamente no site oficial — nunca através do link do email.

O que Fazer se Receberes um Email Suspeito

  1. Não cliques em nenhum link — nem para "cancelar subscrição"
  2. Não abras anexos
  3. Se tens dúvidas, vai diretamente ao site oficial digitando o endereço no browser
  4. Reporta o email como phishing no teu cliente de email (Gmail, Outlook)
  5. Se estás numa empresa, avisa o departamento de IT

E se Já Clicaste?

Se clicaste num link e introduziste dados:

  1. Muda a password imediatamente na plataforma afetada
  2. Ativa o 2FA se ainda não está ativo
  3. Se partilhaste dados bancários, contacta o banco imediatamente
  4. Reporta o incidente ao CERT.PT (cert.pt)
Proteção extra: Um bom gestor de passwords como o NordPass avisa-te quando tenta preencher automaticamente credenciais num site — se o domínio não corresponder ao site real, não preenche.