Smishing e Vishing: Como Funcionam os Ataques pelo Telemóvel em Portugal

O seu telemóvel vibrou. É uma mensagem dos CTT a dizer que tem uma encomenda retida e precisa de pagar 1,99 € para a libertar. Parece legítimo — até tem o logótipo. Mas não é. Isto é smishing, e em Portugal é um dos esquemas de fraude que mais cresce. Se ainda não sabe o que é smishing Portugal ou como funciona, este artigo explica tudo de forma simples.

O Que É Smishing?

Smishing é uma contracção de SMS + phishing. Tal como o phishing por email, o objectivo é enganá-lo para que clique num link malicioso ou forneça dados pessoais e bancários. A diferença é o canal: em vez do email, o ataque chega pelo telemóvel, via SMS ou WhatsApp.

Exemplos Reais de Smishing em Portugal

1. SMS falso dos CTT

Mensagem típica: “CTT: A sua encomenda está retida na alfândega. Taxa pendente: €1,99. Pague aqui: [link encurtado]”. O link leva a uma página que imita o site dos CTT e fica com os dados do cartão.

2. Alerta falso do Multibanco ou MBWay

Mensagem típica: “MB: Detectámos acesso suspeito à sua conta. Confirme os seus dados em 24h para evitar o bloqueio: [link]”. Com estes dados, os criminosos fazem transferências via MBWay.

3. SMS falso do banco

O mais perigoso: estes SMS chegam muitas vezes no mesmo fio de conversa do banco real, porque os atacantes falsificam o nome do remetente (técnica chamada sender spoofing).

4. Mensagem da Autoridade Tributária

Promete um reembolso de IRS pedindo dados bancários para “efectuar o depósito”. A AT nunca pede dados por SMS.

O Que É Vishing?

Vishing é voice + phishing — o mesmo conceito, mas por chamada telefónica. O atacante liga fingindo ser um funcionário do banco, técnico da Microsoft, ou representante das Finanças.

Caso real (Portugal, 2024): Uma PME do sector do retalho recebeu uma chamada de alguém que se identificou como técnico do banco. O funcionário foi convencido a instalar uma aplicação de “suporte remoto” — que deu ao atacante acesso total ao computador e às contas. Prejuízo: 12.000 €.

Sinais de Alerta: Como Reconhecer um Ataque

• Urgência extrema: “Tem 2 horas para responder ou a conta é bloqueada”
• Pedido de dados sensíveis: Nenhuma entidade legítima pede PIN ou CVV por SMS ou telefone
• Links encurtados ou estranhos: bit.ly/xyz em vez de ctt.pt
• Erros de português: “Sua encomenda” em vez de “a sua encomenda”
• Pedido de sigilo: “Não diga a ninguém, é um procedimento interno”

O Que Fazer se Receber uma Mensagem Suspeita

Se recebeu um SMS suspeito:

1. Não clique no link.
2. Não responda. Responder confirma que o número está activo.
3. Aceda directamente ao site oficial (escreva o URL no browser).
4. Apague a mensagem e bloqueie o número.

Se recebeu uma chamada suspeita:

1. Desligue.
2. Ligue de volta para o número oficial da entidade.
3. Nunca instale software a pedido de alguém que ligou sem aviso prévio.
4. Nunca dite códigos SMS ou PINs durante uma chamada.

Como Denunciar em Portugal

O CNCS é a entidade portuguesa responsável pela cibersegurança nacional. Pode reportar incidentes pelo email cert@cncs.gov.pt. Todos os bancos portugueses têm linhas de apoio específicas para fraude. Se sofreu prejuízo financeiro, apresente queixa na Polícia Judiciária.

Como Proteger a Sua Empresa

• Formação básica da equipa: Uma sessão de 30 minutos pode evitar prejuízos de milhares de euros.
• Política clara sobre dados: Nenhum colaborador deve fornecer dados por SMS ou telefone sem verificação prévia.
• 2FA em todos os serviços críticos.
• Procedimento de verificação: Se alguém disser ser do banco, desligue e ligue para o número no verso do cartão.

Para uma abordagem completa, consulte os nossos artigos sobre phishing e NIS2 em Portugal.