Novos ataques de phishing, smishing e vishing deixam bancos portugueses em estado de alerta

23 jul 2025 16:21

São vários os bancos que estão a partilhar informação sobre ataques com links falsos, SMS e telefonemas de contactos que escondem a origem real e simulam ser de entidades bancárias para roubar dados de acesso e fazer transferências de dinheiro. A DECO confirma que recebeu dezenas de denúncias em junho e julho.

Os alertas do Millennium BCP e da CGD são os mais recentes mas vários bancos têm reforçado nos últimos dias as mensagens de aviso aos clientes sobre ataques de phishing, smishing e vishing que podem levar a roubo de dados e transferências de dinheiro. O Banco CTT, Santander e Banco Montepio estão nesta lista de entidades que reforçaram os alertas, embora não existam indicações concretas de que os hackers tenham conseguido realizar as burlas.

Contactado pelo TEK Notícias, o Centro Nacional de Cibersegurança (CNCS) não confirma que exista uma onda de ataques ativos. "O Centro Nacional de Cibersegurança, através do CERT.PT não tem registado, no período recente, qualquer aumento no número de incidentes no setor bancário", refere o organismo que tem como responsabilidade a coordenação da resposta a incidentes através do CERT.PT. O regulador do mercado, o Banco de Portugal, não respondeu aos nossos contactos.

A técnica não é nova mas continua a fazer vítimas entre os clientes menos atentos. Os ataques tiram partido de envio de mensagens de phishing, smishing e vishing para enganar os utilizadores e levá-los a ceder dados das contas bancárias, escondendo também muitas vezes esses links em publicidade em páginas web e usando spoofing para mascarar endereço de email, número de telefone ou endereço IP, para que pareçam legítimos.

O alerta do Millennium BCP refere especificamente um "SMS supostamente enviado pelo Millennium bcp, com link fraudulento, com a mensagem “Utilizador vinculado a este telemóvel será suspenso”", um tipo de ataque conhecido como smishing. E lembra que nunca envia mensagens de telemóvel com links.

Veja as imagens

Neste caso, depois de aceder ao link da mensagem é pedido aos clientes que indiquem o nome, Código de Utilizador, Código Multicanal completo e o número de telemóvel. É com estes dados que são depois feitos contactos telefónicos por pessoas que alegam ser colaboradores do banco, pedindo dados para fazer operações, um tipo de ataque classificado como vishing.

"Fique atento pois um clique pode deitar tudo a perder! Ao inserir os códigos de acesso e código de autorização está a permitir o acesso de terceiros ao seu património", avisa o banco na mensagem de alerta.

A DECO confirmou ao TEK Notícias que tem denúncias recentes de burlas com bancos, por SMS e telefone, mencionando a CGD, Banco Montepio, BPI e Millennium, mas referindo que a situação é geral. Fonte oficial da Associação de Defesa do Consumidor diz que estes casos estão incluídos no grande grupo de burlas e fraudes, e adianta que existem "dezenas de denúncias em junho e julho".

Entre a informação que os bancos disponibilizam nos seus sites com alertas e conselhos aos clientes para evitar estas situações, a Caixa Geral de Depósitos tem também um novo aviso. "Será que foi mesmo a Caixa que o contactou? O SMS que recebeu é nosso? É possível esconder a real origem da chamada ou do SMS para fazer acreditar que são do banco", refere-se no site.

A CGD já tinha publicado um aviso no dia 18 sobre spoofing, e ontem também alertou para uma nova fraude por email. Os exemplos de Smishing CGD, com uma mensagem SMS com spoofing (simulação) do número CGD contendo um link para um site falso, onde é pedida a autenticação através do cartão matriz (o sistema de dupla autenticação usado pelo banco), que é seguido de uma chamada falsa para conclusão das operações fraudulentas, estão descritos no site de forma detalhada.

Ainda no início da semana foram revelados novos dados de ataques de spoofing, com a ANACOM, PSP e GNR a referirem um aumento de casos reportados.

Os conselhos para evitar cair nestas armadilhas são comuns a todas as entidades, que nunca enviam links por SMS e que avisam que os clientes devem sempre confirmar que estão a aceder a sites legítimos, não partilhando dados que habitualmente não são pedidos pelos sites.

O SAPO TEK tem reunido alguns dos principais exemplos de phishing que circulam em Portugal, que pode ver na galeria. Clique nas imagens para mais detalhe.