Phishing é um ataque cibernético onde os criminosos enviam emails, SMS ou mensagens falsas que imitam entidades legítimas (bancos, CTT, finanças) com o objetivo de roubar dados pessoais, passwords ou informações bancárias.

Como reconhecer um email de phishing?

Os principais sinais são: urgência artificial no assunto, remetente com domínio estranho, links que não correspondem ao site legítimo, erros ortográficos, pedidos de dados pessoais ou bancários, e anexos inesperados.

O que fazer se recebi um email de phishing?

Não cliques em nenhum link nem abras anexos. Marca como spam e elimina. Se já clicaste e inseriste dados, muda as passwords imediatamente e contacta o teu banco. Denuncia em denuncias@cncs.gov.pt.

Como Identificar um Email de Phishing em 30 Segundos

O que é phishing e como funciona

Phishing (pronuncia-se "fishing", como pesca em inglês — não é coincidência) é um ataque onde os criminosos lançam um "anzol" digital na esperança de que alguém morda. O anzol é um email, SMS ou mensagem que imita uma entidade legítima: o teu banco, os CTT, as Finanças, a EDP, ou até a própria Microsoft.

O objetivo é sempre o mesmo: fazer-te clicar num link ou abrir um anexo para depois roubarem as tuas credenciais, dados bancários, ou instalar malware no teu dispositivo.

O que torna o phishing tão perigoso é a sua escala e custo zero para os atacantes. Um grupo criminoso pode enviar 10 milhões de emails por menos de 50€ — e basta 0,1% das pessoas cair para o ataque ser lucrativo.

⚠️ Importante: O phishing não discrimina. Não precisas de ser técnico, rico ou famoso para seres alvo. Na maioria dos casos, os ataques são completamente aleatórios e automatizados.

Phishing em Portugal: os números

83% das organizações em PT sofreram phishing em 2024

3.4B emails de phishing enviados globalmente por dia

36% das violações de dados começam com phishing

Em Portugal, os ataques mais comuns imitam os CTT (encomenda retida), bancos portugueses (Millennium, CGD, Santander), Portal das Finanças (reembolso de IRS), EDP (fatura em atraso) e NOS/MEO/Vodafone (fatura disponível).

Exemplo real: email falso dos CTT

Este é o tipo de email de phishing mais comum em Portugal. Analisa cada elemento assinalado:

⚠ EMAIL SUSPEITO — EXEMPLO EDUCATIVO

De: noreply@ctt-entregas-portugal.com

Domínio falso! O real seria @ctt.pt

Assunto: 🚨 URGENTE: A sua encomenda será devolvida em 24h

Urgência artificial para não pensares

A sua encomenda Nº PT847291 aguarda confirmação

Caro Cliente,

Informamos que a sua encomenda está retida nos nossos armazens devido a uma taxa de alfandega pendente no valor de €2,99. Por favor efectue o pagamento nas proximas 24 horas para evitar a devolucao.

Erros ortográficos ("armazens", "alfandega", "efectue")

Clique no link abaixo para proceder ao pagamento seguro:
http://ctt-pagamento-encomenda.xyz/confirmar?id=847291

URL falso — domínio .xyz, não ctt.pt

Os 7 sinais de alerta para verificar em 30 segundos

Sempre que receberes um email que te peça alguma ação, verifica estes 7 pontos antes de clicares em qualquer coisa:

Verifica o domínio do remetente

O email real dos CTT vem de @ctt.pt, não de @ctt-entregas.com ou @ctt.info. Clica no nome do remetente para ver o email completo. Domínios com traços, palavras extra ou extensões estranhas (.xyz, .info, .click) são sinal de phishing.

Urgência e pressão no assunto

Palavras como "URGENTE", "24 horas", "conta bloqueada", "ação imediata" são técnicas de manipulação psicológica. As empresas legítimas raramente criam pressão temporal extrema por email.

Passa o rato sobre os links (sem clicar)

No computador, pousa o rato sobre qualquer link. Em baixo do ecrã aparece o URL real. Se o link diz "ctt.pt" mas o URL real é ctt-pagamento.xyz, é fraude. No telemóvel, mantém pressionado para ver o URL.

Erros ortográficos e gramaticais

Muitos ataques usam tradução automática ou são escritos por pessoas que não falam português fluentemente. "armazens" em vez de "armazéns", frases estranhas ou formatação irregular são sinais claros.

Pedido de dados pessoais ou bancários

O teu banco nunca te vai pedir a password, PIN ou número de cartão por email. As Finanças não pedem dados bancários por email. Nenhuma empresa legítima o faz.

Anexos inesperados

Um anexo que não estavas à espera — especialmente ficheiros .exe, .zip, .doc com macros, ou .pdf de origem duvidosa — pode instalar malware no teu dispositivo. Não abras.

A saudação é genérica

O teu banco sabe o teu nome. Se o email começa com "Caro Cliente", "Prezado Utilizador" ou simplesmente o teu email em vez do nome, é sinal de que foi enviado em massa sem personalização.

✅ Regra de ouro: Em caso de dúvida, não cliques em nenhum link do email. Vai diretamente ao site da empresa escrevendo o endereço no browser (ex: ctt.pt na barra de endereço) e verifica a situação por aí.

Fui vítima de phishing — o que fazer agora?

Se clicaste num link suspeito ou inseriste dados num site falso, age imediatamente nestas etapas:

🚨 Plano de ação — por ordem de prioridade

1.Desliga o dispositivo da internet se suspeitas que foi instalado malware (Ethernet fora, Wi-Fi desligado).

2.Muda a password imediatamente da conta comprometida — e de todas as contas onde uses a mesma password.

3.Contacta o teu banco se inseriste dados bancários. Pede o bloqueio do cartão e monitorização da conta.

4.Ativa o 2FA nas contas afetadas para evitar acessos futuros mesmo que a password tenha sido comprometida.

5.Faz um scan antivírus completo ao dispositivo com uma ferramenta atualizada.

6.Denuncia ao CNCS através de denuncias@cncs.gov.pt ou ao portal cncs.gov.pt.

💡 Nota: Teres clicado num link não significa automaticamente que és vítima. Se não inseriste dados e fechaste rapidamente, o risco é menor — mas faz o scan antivírus na mesma.

Como te proteger de forma permanente

A melhor defesa é a prevenção habitual. Estas medidas tornam-te um alvo muito mais difícil:

🛡️ Proteção proativa

✓Ativa autenticação de dois fatores (2FA) em todas as contas importantes — email, banco, redes sociais. Mesmo que a tua password seja roubada, sem o segundo fator o atacante não entra.

✓Usa um gestor de passwords (Bitwarden é gratuito e excelente). Passwords únicas por serviço garantem que o comprometimento de uma conta não afeta as outras.

✓Instala extensões anti-phishing no browser: uBlock Origin bloqueia domínios maliciosos conhecidos automaticamente.

✓Verifica em HaveIBeenPwned.com se o teu email foi exposto em data breaches — e ativa os alertas gratuitos.

✓Educa quem está à tua volta. Pais, avós, colegas — partilha este guia. O elo mais fraco de segurança é frequentemente alguém próximo com acesso às mesmas redes e contas.

Perguntas frequentes

Posso apanhar vírus só por abrir um email?

Na maioria dos clientes de email modernos (Gmail, Outlook), simplesmente abrir um email não é suficiente para apanhares malware. O risco real está em clicar nos links ou abrir anexos. Ainda assim, alguns ataques mais avançados exploram vulnerabilidades do cliente de email — manter tudo atualizado é essencial.

Como denuncio phishing em Portugal?

Podes denunciar ao CNCS em denuncias@cncs.gov.pt. Se o email imita uma empresa específica (banco, CTT), contacta diretamente essa empresa — elas querem saber para agirem contra o domínio falso. No Gmail, usa o botão "Denunciar phishing"; no Outlook, usa "Denunciar mensagem".

Os emails de phishing estão sempre cheios de erros?

Cada vez menos. Os ataques mais sofisticados — chamados spear phishing — são personalizados com o teu nome, empresa e detalhes reais, e têm português perfeito. Os 7 sinais técnicos (domínio, link real, pedido de dados) continuam a ser os mais fiáveis, independentemente da qualidade do texto.

O phishing é só por email?

Não. Existe também smishing (SMS) e vishing (chamadas telefónicas). Os ataques por SMS são crescentes em Portugal, especialmente a imitar bancos e serviços de entrega. As regras de verificação são as mesmas: não cliques em links de SMS inesperados.