O que está a acontecer em Portugal?
Portugal está claramente na mira. O Fisco já alertou para novas vagas de emails e SMS falsos a circular e o padrão é sempre o mesmo: explorar o momento de pânico para te levar a clicar antes de pensar.
O problema é que as mensagens estão cada vez mais convincentes. A inteligência artificial permite hoje criar emails que imitam à perfeição o visual de um banco, da Segurança Social ou do Portal das Finanças. Um clique no momento errado pode comprometer anos de vida digital.
Cada alerta, cada significado
Nem todos os avisos de segurança significam que a tua conta foi comprometida. Há três cenários que precisas de saber distinguir antes de reagir, com base em páginas de apoio oficiais da Google e da Microsoft sobre atividade suspeita, tentativas de início de sessão bloqueadas e contas protegidas por motivos de segurança.
- Início de sessão suspeito bloqueado: É a melhor notícia possível. O sistema detetou uma tentativa suspeita e travou-a antes de haver dano. A tua conta está segura, mas muda a password por precaução.
- Atividade invulgar detetada: Aqui há suspeita de utilização indevida ativa. Pode ser um envio em massa de emails a partir da tua caixa de correio ou alterações nas tuas definições sem a tua autorização. Age rápido: verifica a conta e muda a password de imediato.
- A tua conta foi bloqueada: Soa dramático mas é frequentemente uma medida de proteção do próprio serviço. O SNS 24 já teve de alertar os portugueses, precisamente porque os burlões exploram este tipo de mensagem para enganar. Acede sempre pelo endereço oficial que escreveste tu próprio no browser, nunca pelo link que chegou na mensagem.
Como detetar uma fraude em segundos
Segundo o Centro Nacional de Cibersegurança (CNCS), antes de clicares em qualquer link, botão ou responder a mensagens suspeitas, deves fazer a verificação de alguns pontos:
- Confirma o remetente real, não o nome que aparece: Suporte Google ou AT – Finanças não significam nada. O que importa é o endereço de email por trás desse nome. O domínio tem de corresponder exatamente ao serviço oficial: a AT envia sempre de endereços terminados em at.gov.pt e o SNS 24 usa sns24.gov.pt. Qualquer variação é fraude.
- Passa o rato sobre os links, sem clicar: No computador, coloca o cursor em cima do botão de ação ou link. Na parte inferior do browser aparece o endereço real de destino. Se não corresponder ao site oficial, elimina a mensagem imediatamente.
- Desconfia da urgência artificial: "Tens 10 minutos para agir ou a tua conta será eliminada" é sinal de alarme imediato. Nenhuma entidade séria coloca pressão de tempo deste tipo. É uma técnica psicológica clássica usada pelos burlões para contornar o teu pensamento crítico. A Microsoft identificou exatamente esta tática em campanhas recentes de phishing que usam nomes de programas conhecidos para aumentar a credibilidade da mensagem.
- Repara em erros de linguagem ou formatação: Emails e SMS fraudulentos podem conter erros ortográficos, frases estranhas ou logótipos mal apresentados.
- Confirma a situação diretamente no serviço oficial: Em vez de clicar no link, abre o browser e escreve o endereço oficial. Qualquer ação necessária aparecerá na tua conta.
Seguindo estes passos, reduzes significativamente o risco de seres vítima de phishing.
A proteção que deves ativar já
A autenticação de dois fatores é hoje a medida mais eficaz que qualquer pessoa pode ativar, e demora menos de dois minutos. Mesmo que um atacante descubra a tua password, não consegue entrar sem o segundo fator de verificação. Apps como o Google Authenticator ou o Authy são uma boa opção para começar e estão disponíveis no Google Play e na App Store.
Se quiseres ir mais longe, uma chave de segurança física torna o ataque praticamente impossível: o segundo fator está num objeto que só tu possuis. Mesmo que o burlão saiba a tua password, sem a chave não entra. Para completar a tua proteção, garante que tens um dos melhores antivírus de 2026 instalado no teu dispositivo. A combinação do 2FA ativo com um antivírus atualizado é hoje o mínimo recomendado para qualquer utilizador.
