PHISHING

Alerta de segurança

Não
Mordes
o Anzol.

Os ataques de phishing são a causa número um de violações de segurança em empresas. Aprende a reconhecê-los antes de seres a próxima vítima.

91% dos ataques começam
por email

3.4B emails de phishing
enviados por dia

60s tempo médio até
à primeira vítima

De: seguranca@bancopt0.com

Para: colaborador@empresa.pt

Assunto: ⚠ Acesso suspeito — Verifique AGORA

Detectámos atividade suspeita na sua conta

Prezado cliente, detetámos um acesso não autorizado à sua conta bancária. Para evitar o bloqueio imediato, clique no botão abaixo e confirme os seus dados nas próximas 24 horas.

Verificar a minha conta →

Se não reconhece esta atividade, ignore este email.
Banco de Portugal · Av. Almirante Reis, Lisboa

Domínio falso: "pt0"

Urgência artificial

Link suspeito

O que é phishing

Uma fraude disfarçada de confiança.

🎣

Phishing por Email

O ataque mais comum. Os criminosos enviam emails que imitam bancos, plataformas, ou até a própria empresa — com links para sites falsos que roubam credenciais.

📱

Smishing (SMS)

Mensagens de texto falsas que alegam ser do banco, CTT, ou Finanças. Pedem que cliques num link ou ligues para um número. Cada vez mais frequentes em Portugal.

📞

Vishing (Chamada)

Um "técnico de suporte" ou "agente bancário" liga e pede dados pessoais ou acesso remoto ao computador. Usam tom urgente e autoritário para pressionar.

🎯

Spear Phishing

Ataque direcionado a um colaborador específico, usando informação real da empresa (nome do chefe, projetos, etc.) para parecer completamente legítimo.

Exemplos de ataques reais

Assim é que nos apanham.

Alto risco

"O teu password expirou"

Email que imita o departamento de TI a pedir para renovar a palavra-passe num link externo. A página é idêntica ao portal interno da empresa.

O link não pertence ao domínio da empresa
Email enviado fora do horário de trabalho
Pressão para agir "imediatamente"

Alto risco

Fatura urgente do CEO

Email que parece vir do diretor-geral a pedir uma transferência bancária urgente para um fornecedor. Pede sigilo e rapidez. Chamam-lhe "fraude do CEO".

Endereço de email ligeiramente diferente
Pedido incomum fora dos processos normais
Insiste que não contactes mais ninguém

Risco médio

Encomenda retida nos CTT

SMS a dizer que tens uma encomenda retida e precisas de pagar uma taxa mínima (ex: €1,49). O link leva a um site falso que rouba dados do cartão.

Número de remetente desconhecido
URL encurtado ou domínio estranho
Pedido de dados bancários por pequena quantia

Como te proteger

8 regras que podem salvar a empresa.

Verifica sempre o endereço de email

O nome pode parecer legítimo, mas verifica o domínio completo. "banco@suporte-pt0.com" não é o teu banco.

Passa o rato sobre os links antes de clicar

O URL real aparece no canto do ecrã. Se não corresponder ao site esperado, não cliques.

Desconfia da urgência excessiva

"Tens 2 horas ou a conta é bloqueada" é uma técnica de manipulação. Para, respira e verifica por outro canal.

Nunca partilhes passwords por email

Nenhuma entidade legítima — banco, TI, ou chefia — te pedirá a palavra-passe por escrito ou ao telefone.

Ativa a autenticação em dois fatores

Mesmo que a tua password seja roubada, o segundo fator impede o acesso não autorizado à conta.

Confirma pedidos suspeitos por outro canal

Recebeste um email do CEO a pedir uma transferência? Liga diretamente para ele antes de agir.

Não abras anexos inesperados

Ficheiros .exe, .zip, ou mesmo Word/Excel podem conter malware. Verifica com o remetente antes de abrir.

Reporta sempre ao departamento de TI

Se suspeitares de um email, encaminha-o para a equipa de segurança. Melhor um falso alarme do que uma brecha real.

Checklist rápida

Antes de clicar, pergunta-te:

Conheço o remetente?

O domínio do email é legítimo?

O link vai para onde diz?

Está a criar urgência artificial?

Pede dados pessoais ou bancários?

O anexo era esperado?

A mensagem tem erros gramaticais?

Posso confirmar por outro canal?

Reportar um email suspeito