A maior parte do phishing não é sofisticado. É apostar em distracção. Quem olha 10 segundos para o email antes de clicar evita 90% dos casos.
Aqui vão cinco verificações que se fazem em segundos.
1. Vê o domínio do remetente, não o nome
O nome do remetente é livre — qualquer pessoa pode pôr "Banco BPI". O que conta é o que está depois do @.
- [email protected] — provavelmente legítimo
- [email protected] — não é BPI
- [email protected] — também não
A maioria dos clientes de email mostra o nome em destaque e esconde o endereço. Carrega no nome para ver o endereço completo.
2. Passa o rato sobre o link sem clicar
Em qualquer computador, colocar o cursor sobre um link mostra o URL real numa barra ao fundo do ecrã.
"Aceda à sua conta" pode parecer ligar ao banco. O URL real pode ser bpi-seguranca.xyz/login. Sinal claro.
Em telemóvel, toque longo num link costuma abrir um menu com o URL — sem o seguir.
3. Urgência artificial é sinal
"A sua conta vai ser bloqueada nas próximas 24 horas." "Última oportunidade." "Acção imediata necessária."
Bancos, plataformas reputadas e autoridades raramente pressionam por email. Se sentires pressão para agir já, é provável que estejas a ser manipulado.
4. Anexos inesperados
Se não estavas à espera de um anexo, não o abras. Mesmo se o remetente parecer conhecido (contas podem ser comprometidas).
Especialmente perigoso: .zip, .exe, .docm (Word com macros), .xlsm (Excel com macros), .html.
PDFs são mais seguros mas não totalmente. Em caso de dúvida, verifica com o suposto remetente por outro canal.
5. Erros que escapam a qualquer profissional
A LinkedIn não te trata por "Caro cliente". O banco não escreve "Estimado Sr." sem usar o teu nome. O Ministério das Finanças não tem typos.
Erros gramaticais, formatação estranha, tradução automática — sinais claros de algo falso.
A regra de ouro: quando tens dúvida, nunca clicas. Vais ao site oficial directamente, num separador novo, escreves o URL.
Se for o teu banco, abres o app. Se for da Amazon, vais a amazon.es. Se for da Autoridade Tributária, vais a portaldasfinancas.gov.pt.
Custa 30 segundos. Pode poupar horas, dinheiro e dores de cabeça.
Links úteis:
- Centro Nacional de Cibersegurança: https://www.cncs.gov.pt/
- Google Safe Browsing: https://safebrowsing.google.com/
- Have I Been Pwned: https://haveibeenpwned.com/
Free resources
If this article was useful, start with the free resources too
It is the simplest way to move from reading to testing: download a resource, try it in your own context, and decide later if you want to go deeper with the ebook.