O phishing continua a crescer e a reinventar-se. Em 2025 o APWG registou mais de um milhão de ataques só no 1.º trimestre, com uso recorrente de códigos QR para enganar utilizadores. Mas como saber se fui alvo de phishing?

Neste guia vai confirmar rapidamente se foi alvo de phishing, saber como agir se porventura já clicou em algum link suspeito e saber onde denunciar o crime, pelos canais certos em Portugal.

Para uma visão global sobre o tema, leia também: “Phishing: tudo o que precisa de saber”.

O que é phishing hoje (e como chega até si)

Phishing é enganar para roubar credenciais, dinheiro ou instalar malware. Chega por email, SMS (smishing), chamada de voz (vishing) e, cada vez mais, por códigos QR (quishing).

Os criminosos usam ferramentas como:

• Páginas de login clonadas;
• Domínios muito parecidos ao original;
• E linguagem de urgência.

No caso do quishing, recorre-se tipicamente a um autocolante com QR Code que conduz a um falso portal de pagamento – prática que escapa aos filtros de email.

Como despistar um ataque de phishing: check-up em 60 segundos

Quando suspeitar de que está a ser vítima de um ataque de phishing, faça esta verificação (sem abrir links ou anexos). Se dois ou mais sinais desta lista se verificarem, trate a mensagem como phishing:

• Remetente “parecido” mas com domínio diferente do oficial (ex.: @banco-pt.com vs @banco.pt);
• Linguagem de urgência: “conta será bloqueada hoje” ou “último aviso”;
• Pedido de códigos (OTP/MFA, MB WAY) ou dados bancários;
• QR code sem contexto em cartazes/estacionamentos ou em mensagens suspeitas;
• Link encurtado ou URL real diferente do texto do link, ao passar o rato.

Se a mensagem passou neste filtro negativo, à partida será segura. Mas vamos olhar para cada um dos sinais de alerta em detalhe – continue a ler, antes de clicar!

Phishing: entender os principais sinais de alerta

1 – Remetentes falsificados e domínios “look-alike”

Estamos perante um caso em que, por exemplo, se troca um .pt por -pt.com; ou se acrescentam letras quase invisíveis ao domínio que o email de proveniência evidencia. Verifique sempre o domínio completo. A engenharia social focada em roubo de credenciais continua entre os principais vectores de violação!

2 – Urgência e medo

Mensagens que ameaçam bloquear a conta em 24 horas forçam decisões impulsivas. Mas lembre-se desta regra de ouro: bancos e entidades públicas não pedem palavras-passe ou códigos por email ou SMS. Valide pelo número oficial do site da sua entidade bancária se o aviso que recebeu é verdadeiro!

3 – Pedidos de códigos e burlas com MB WAY

O guião comum deste sinal de alerta é: “para receber” dinheiro, tem de aprovar uma operação no MB WAY. Cuidado: na prática, está a autorizar uma transferência sem saber. E quem já tentou vender bens no OLX provavelmente sabe do que estou a falar. Por isso: se receber pedidos de códigos e afins, antes de mais ligue ao seu banco por um dos canais oficiais.

4 – Quishing (QR code malicioso)

Autocolantes sobrepostos em parquímetros ou cartazes ocasionais podem redireccionar para websites falsos. Evite digitalizar QR Codes sem contexto e confirme o endereço na barra do navegador antes de introduzir dados!

5 – Links encurtados (bit.ly, t.co, tinyurl, ow.ly)

Links encurtados escondem o destino final. Por isso, antes de os abrir, expanda e confirme o URL real: use um unshortener e, depois, verifique a página com um verificador de segurança. Como?

• Expandir o link: CheckShortURL ou ExpandURL.
• Se for Bitly: usa o Bitly Link Checker (ou adiciona + ao fim do link, ex.: bit.ly/exemplo+).
• Verificar segurança: cole o URL expandido em VirusTotal e/ou no Google Safe Browsing – Site Status.

Se o endereço final for estranho (domínio “parecido” ao expectável, IP numérico ou erros ortográficos) ou o contexto não fizer sentido, trata como phishing e não clique!

Como confirmar tecnicamente se estamos perante um ataque de phishing via email (sem riscos)

O objectivo é validar a suspeita sem expor o dispositivo, certo? Vamos lá!

Para confirmar sem clicar, veja os cabeçalhos:

• Outlook: Ficheiro > Propriedades;
• Gmail: Clique nos três pontos na vertical > “Mostrar original”; 
• E confira o domínio real. Copie o URL suspeito e verifique no VirusTotal ou no Google Safe Browsing — cole o endereço, não o abra! 

Se a dúvida persistir, trate como fraude e peça análise a um especialista. Se está numa empresa, documente um procedimento interno standart e forme as equipas de helpdesk para o seguir.

O email é suspeito? Então há mais um passo a fazer: no Gmail, abra a mensagem, clique em Mais e escolha Reportar phishing. No Outlook, seleccione a mensagem e use Report > Report phishing. Estas acções treinam os filtros e ajudam a bloquear campanhas futuras.

Cliquei ou introduzi dados… E agora?

O importante é reduzir o dano causado rapidamente. Comece por desligar a máquina da rede, termine sessões abertas no navegador e altere de imediato a palavra-passe do email, activando MFA. Em contas bancárias e MB WAY, contacte o banco, vigie movimentos e peça bloqueio preventivo da sua conta. 

Vamos recapitular:

1. Desligue a máquina da rede;
2. Troque senhas repetidas noutras contas e active MFA onde ainda não existir;
3. Verifique se o seu email aparece em violações públicas com o Have I Been Pwned e renove as credenciais expostas;
4. Reveja sessões ativas nas contas Google/Microsoft e termine todas as sessões abertas no navegador, antes de voltar a iniciar sessão com MFA.

Se notar algum comportamento estranho no equipamento, faça uma verificação completa com antivírus/EDR (Endpoint Detection and Response). Se tiver fornecido credenciais de trabalho, informe imediatamente a equipa de IT da sua empresa, para forçar reset e rever acessos!

Como denunciar um ataque de phishing em Portugal (cidadãos e empresas)

O ponto técnico de contacto é o CERT.PT, serviço do Centro Nacional de Cibersegurança. Utilize o site do CNCS ou contacte directamente a intituição para obter orientação. 

Em caso de burla ou tentativa, apresente queixa na Polícia Judiciária – UNC3T (telefone 211 967 000). A Linha Internet Segura (APAV) presta apoio anónimo e confidencial no 800 21 90 90 e por email. 

Se a sua organização estiver abrangida pela NIS2, cumpra os prazos exigidos legalmente: alerta inicial até 24 horas e relatório em 72 horas ao CSIRT/autoridade competente. Prepare contactos e modelos de reporte com antecedência. 

Se precisar de apoio técnico ou forense, a equipa da Morebiz pode analisar mensagens, isolar dispositivos, apoiar o reporte e reforçar as defesas.

Como evitar o próximo ataque de phishing

Vamos começar pelo básico – e, acredite em mim, já vai estar à frente da maioria das empresas. Três hábitos protegem qualquer utilizador: usar um gestor de palavras-passe, activar MFA nas contas críticas e desconfiar de links ou códigos QR sem contexto. No caso de pagamentos: confirme IBAN/MB WAY por um canal oficial antes de transferir dinheiro. 

Nas empresas, combine sensibilização contínua, políticas de SPF/DKIM/DMARC para travar spoofing, filtragem avançada de anexos/URLs e simulações periódicas. A sua equipa de IT vai saber o que significam estes cuidados mas, caso precise de ajuda, lembre-se que a Morebiz pode tratar deles por si. 

Para aprofundaro tema, veja também: “O que é o ransomware e como proteger a sua empresa”

Perguntas frequentes (FAQ)

Cliquei no link mas não escrevi dados — fui comprometido?

Nem sempre. Se era apenas uma página de login falsa, o risco é menor. Ainda assim, mude a palavra-passe do email, active MFA, verifique sessões activas e faça uma análise antivírus. Se usou a mesma password noutros serviços, altere-a nesses serviços também.

Como reportar phishing no Outlook e no Gmail?

No Gmail, abra a mensagem, clique em Mais e escolha Reportar phishing. No Outlook, seleccione a mensagem e use Report > Report phishing. Estas acções ajudam a bloquear campanhas semelhantes para todos. 

O que é quishing?

É phishing via QR codes. Os atacantes colam autocolantes sobre códigos legítimos ou enviam QR Codes em mensagens, conduzindo o utilizador a sites falsos de pagamento. Prefira digitar o endereço oficial e desconfie de QR sem contexto. 

Sou empresa considerada essencial/importante — quais são os prazos NIS2?

Alerta inicial até 24 horas e notificação completa em 72 horas ao CSIRT/autoridade competente. Prepare um procedimento interno com contactos, modelos e evidências a recolher. 

Que contactos devo guardar já?

• CERT.PT (CNCS) — canal técnico de reporte;
• Polícia Judiciária – UNC3T — queixa de cibercrime (211 967 000);
• Linha Internet Segura — apoio e encaminhamento (800 21 90 90). 

Conclusão

Confirmar cedo, denunciar e reforçar práticas simples devolve-lhe o controlo da estrutura informática da sua empresa ou domicílio e evita prejuízos. Em caso de dúvida: utilize o check-up de 60 segundos. Em caso de ataque: reporte o ataque no cliente de email e mantenha MFA, passwords únicas e prudência com QR codes. Se precisa de uma análise imediata ou de políticas técnicas como SPF/DKIM/DMARC, fale com a Morebiz.