As burlas digitais continuam a crescer em Portugal e há um esquema que exige atenção redobrada: começa com mensagens falsas, pode passar por chamadas telefónicas muito convincentes e termina, em muitos casos, com a vítima a entregar códigos que permitem movimentar dinheiro da sua conta. A Procuradoria-Geral da República (PGR), através do Gabinete Cibercrime, revelou que, em 2025, recebeu 695 denúncias relacionadas com phishing e 303 denúncias de telefonemas fraudulentos, muitos deles com recurso a técnicas de engenharia social.
Burla continua a fazer vítimas em Portugal
De acordo com a informação mais recente do Gabinete Cibercrime da PGR, o phishing voltou a ter expressão significativa, com várias campanhas a usar imagens institucionais conhecidas, incluindo CTT, Autoridade Tributária, Via Verde, Caixa Geral de Depósitos e outros bancos, quase sempre com o objetivo de obter dados de cartões bancários de pagamento.
O mesmo relatório sublinha que as denúncias de phishing aumentaram 42,15% entre 2024 e 2025, passando de 489 para 695. Embora muitas campanhas comecem por SMS, email ou mensagens instantâneas, os criminosos podem depois recorrer a telefonemas para reforçar a credibilidade do esquema e pressionar a vítima a agir rapidamente.
SMS falsas são muitas vezes o primeiro passo
Este método é conhecido, mas continua eficaz. Os burlões enviam mensagens em massa, fazendo-se passar por entidades conhecidas, com links que conduzem a páginas falsas. Nesses sites, visualmente semelhantes aos originais, é pedido à vítima que introduza dados pessoais, número de telemóvel, dados bancários ou informações do cartão.
A PGR alertou sobre uma campanha que usava abusivamente o nome e a imagem dos supermercados Continente para obter dados de cartões de crédito. Segundo o Gabinete Cibercrime, as mensagens eram fraudulentas, não tinham origem na entidade visada e encaminhavam os destinatários para páginas falsas, onde eram pedidos dados pessoais e bancários.
Chamadas falsas tornam a burla mais convincente
A parte mais perigosa surge quando a burla passa do link para o telefone. O Banco de Portugal (BdP) alerta que os burlões podem contactar a vítima por email, telefone ou redes sociais, fazendo-se passar por um banco, uma entidade pública ou outro prestador de serviços, criando um cenário aparentemente legítimo para obter credenciais de homebanking, dados de cartões ou códigos enviados por SMS.
Para ganhar confiança, os criminosos podem demonstrar conhecer alguns dados pessoais da vítima, como o nome ou a morada. O BdP explica que essa informação pode ter sido obtida ilicitamente ou através de redes sociais, o que torna a chamada mais credível, mas não significa que o contacto seja verdadeiro.
Código bancário nunca deve ser partilhado
A finalidade é levar a vítima a partilhar dados que permitem autorizar operações. Num cenário típico, o burlão diz que existe uma movimentação suspeita, afirma que está a tentar cancelar ou reverter a operação e pede um código enviado por SMS. Esse código, porém, pode servir para validar uma transferência ou outra operação bancária, e não para a cancelar.
O BdP é claro: nunca deve divulgar informação pessoal, credenciais de acesso aos canais digitais ou códigos de autenticação de operações. A instituição recorda que um banco ou outro prestador de serviços de pagamento nunca pediria esse tipo de informação por email, SMS ou telefone.
Phishing, smishing e vishing estão entre as ameaças em destaque
O Centro Nacional de Cibersegurança explica que o phishing usa técnicas de engenharia social para capturar informação sensível através de email. Quando a técnica é usada por SMS chama-se smishing e, quando ocorre por chamada telefónica, chama-se vishing. Estes métodos podem também surgir através de mensagens instantâneas em aplicações e redes sociais.
Na 6.ª edição do Relatório Riscos & Conflitos, o CNCS destacou o phishing, o smishing, outras formas de engenharia social e as burlas online entre as ciberameaças mais relevantes no ciberespaço de interesse nacional. O relatório aponta ainda para a persistência de incidentes com aparente fim económico em Portugal.
Como deve agir se receber uma mensagem ou chamada suspeita?
Se receber uma SMS, email ou chamada que peça códigos, palavras-passe, dados de cartão ou acesso ao homebanking, desconfie de imediato. O BdP recomenda que não clique em links suspeitos, não abra anexos sem confirmar a origem e não introduza dados confidenciais em sites cuja autenticidade não esteja assegurada.
Também deve contactar imediatamente a sua instituição financeira se detetar movimentos que não autorizou ou se suspeitar de burla antes de prosseguir qualquer operação bancária. O Banco de Portugal aconselha ainda a confirmar sempre a situação através dos canais habituais da instituição e a não confiar apenas no facto de o interlocutor conhecer alguns dados pessoais.
Leia também: Recebe muitas chamadas spam? Especialistas identificam erro que leva a que receba cada vez mais contactos
