As instituições oficiais, como a AT e o Centro Nacional de Cibersegurança (CNCS), confirmam que estas práticas são cada vez mais frequentes e sofisticadas. As mensagens falsas muitas vezes ameaçam com penhoras, coimas ou perda de direitos, criando um sentido de urgência para enganar quem as recebe.
Já sabemos que a inteligência artificial (IA) está a transformar a forma como se trabalha, se comunica e se vende. No entanto, esta mesma tecnologia também está a ser utilizada para fins maliciosos,o que inclui burlas dirigidas a empresas. A ameaça em si não é nova, mas está a evoluir rapidamente e a tornar-se mais perigosa..
Para as microempresas e as pequenas e médias empresas (PME), estas burlas digitais representam um risco real. Podem ocorrer através de mensagens SMS, e-mails ou chamadas com voz gerada através de IA, em que simulam comunicações de instituições públicas ou de pessoas próximas para obter dinheiro ou informações sensíveis.
Como é que a IA está a ser usada em burlas cada vez mais realistas
Atualmente os criminosos podem usar IA para imitar a voz de um familiar ou simular uma comunicação da Autoridade Tributária (AT) ou Segurança Social; entidade bancária; fornecedor ou parceiros, com uma aparência extremamente credível. Estas burlas chegam frequentemente por:
– Mensagens SMS com referências falsas para pagamento urgente de coimas ou contraordenações;
– E-mails com pedidos para clicar num link e aceder a um “guia de resolução” ou receber um suposto reembolso; anexos de “faturas” para descarregar; pedidos para aceder a um site e atualizar as credenciais (utilizador e/ou password);
– Chamadas com voz clonada via telefone ou whatsapp, onde é solicitado dinheiro por alegadas emergências, pode também pedir dados de acesso ou informações confidenciais.
– Sites clonados e divulgados via e-mail ou redes sociais que imitam sites empresariais, sistemas de RH ou de fornecedores para roubar credenciais.
As instituições oficiais, como a AT e o Centro Nacional de Cibersegurança (CNCS), confirmam que estas práticas são cada vez mais frequentes e sofisticadas. As mensagens falsas muitas vezes ameaçam com penhoras, coimas ou perda de direitos, criando um sentido de urgência para enganar quem as recebe.
O que é o Phishing e quais os seus perigos?
O Phishing é uma forma de crime digital em que os criminosos usam métodos enganosos (principalmente e-mail ou mensagens de texto) para roubar informações confidenciais, tais como passwords, dados de cartões de crédito e outros dados pessoais ou de empresas.
As consequências do Phishing podem ser bastante graves. Esta prática é usada para roubo de identidade, comprometer a privacidade e roubar as vítimas. Para alcançar o seu objetivo, os criminosos conduzem a vítima a sites falsos ou a clicar em links que encaminham para sites maliciosos onde as informações da vítima são extraídas.
Existem vários tipos de phishing, entre os quais:
– Smishing: Phishing por SMS (mensagens falsas da EDP, entidades bancárias, AT, Segurança social, ofertas ou portais de emprego, promoções flash)
– Vishing: Phishing por voz (ofertas de emprego, telemarketing, comunicações empresariais)
– Whaling: Phishing destinado a pessoas com status elevado, tais como celebridades ou executivos
Principais táticas de Phishing
Canal | Tipo de Phishing | Exemplo prático |
Phishing tradicional | E-mail falso de banco a pedir a atualização de password ou confirmação de dados | |
Phishing HTTPS | E-mail com link para site falso com HTTPS a simular segurança | |
Clone phishing | Cópia de e-mail legítimo já recebido, mas com links ou anexos maliciosos | |
Spear phishing | E-mail personalizado com informações reais do destinatário, fingindo ser um colega ou fornecedor | |
Whaling/CEO Fraud/BEC | E-mail supostamente do CEO ou diretor financeiro a solicitar transferência urgente de fundos | |
Pulveriza phishing | Campanha massiva de e-mails genéricos a pedir atualização de dados ou senha | |
Fraude 419/Nigeriana | E-mail a prometer grandes quantias de dinheiro em troca de um adiantamento | |
Pretext phishing | Contato prévio por outro canal (como o telefone) a avisar sobre e-mail falso que será enviado | |
Man-in-the-middle | Interceptação de e-mails entre duas partes, alterando mensagens para obter dados | |
Engenharia social | E-mails que pressionam psicologicamente para obter informações confidenciais | |
Faturas falsas | E-mail com fatura fraudulenta anexada a solicitar pagamento | |
Notificação de bloqueio de conta | E-mail alegando bloqueio de conta Apple, PayPal, Amazon ou outros sites a pedir validação de dados | |
Phishing de suporte técnico | E-mail supostamente do apoio informático/IT a solicitar credenciais ou acesso remoto ao computador para “resolver um problema” | |
Telefone | Vishing | Ligação de entidade bancária ou IT a solicitar dados, códigos ou transferências |
Telefone | Vishing com spoofing | Ligação com número falsificado que simula uma empresa conhecida ou parceiro |
Telefone | Pretext vishing | Ligação a avisar sobre e-mail que será enviado, para dar credibilidade ao golpe |
SMS/App | Smishing | SMS de entidade bancária, encomenda, promoção, link para site falso ou pedido de dados |
SMS/App | Smishing com malware | SMS com link para download de app malicioso (supostamente legítimo) |
SMS/App | Smishing de cupom | SMS a prometer cupão ou prémio e a solicitar dados pessoais |
SMS/App | Smishing de autenticação | SMS a solicitar código de autenticação ou confirmação de identidade |
Redes Sociais | Phishing em redes sociais | Mensagem direta ou post com link malicioso ou pedido de informações |
Redes Sociais | Perfis falsos | Criação de perfis falsos para enganar colaboradores e obter dados |
Redes Sociais | Catphishing | Perfil falso para criar relação de confiança e explorar financeiramente |
Outros | Pharming | Redirecionamento automático para site falso através de manipulação de DNS |
Outros | Wi-Fi gémeo (Evil Twin) | Rede Wi-Fi falsa que imita a legítima para capturar dados de login |
Exemplos de mensagens fraudulentas
Neste exemplo de phishing detectamos:
- O endereço de e-mail do remetente é suspeito (info@at-gov-pt)
- A imagem (banner) da AT não é apresentado
Esta imagem é claramente uma tentativa de fraude:
- Nome de remetente suspeito (FinancasVerifica)
- Endereço de e-mail suspeito (tributofhelmafleao@eurboyagehub.blog)
- Assunto suspeito para ser apresentado por um endereço que não pertence à AT – Divergência de declaração de IRS
- Link para resolver a situação bastante suspeito (hardwarecreditovitoriaprojetor)
Neste exemplo de Phishing detectamos:
- Endereço de remetente suspeito (781205pt@ptisps.pt)
- Domínio do e-mail (@ptisps.pt) bastante semelhante, mas não igual ao original (@ptisp.pt)
- A mensagem escrita usa português na variação do Brasil (se você deseja manter nossos serviços)
- Erros na escrita da mensagem (Estamos a sua disposição)
Este exemplo de Phishing ocorreu por SMS. Aqui um remetente desconhecido faz-se passar por uma empresa que quer premiar o seu cliente.
Ao analisar melhor a SMS é suspeito o facto da empresa não se identificar na SMS e ser inconsistente no tratamento do cliente (mistura “tu” com “seu”). O URL encurtado ht2.us também não aparenta ser de confiança.
Nesta SMS o remetente não torna a sua intenção tão óbvia. Apresenta uma suposta mensagem de endereço errado e o link para correção de morada aparenta ser credível.
Mas ao analisar melhor o link é possível entender que está errado pelos motivos abaixo:
- O site dos ctt não acaba em .me/pt, acaba em .pt
- O endereço correto é www.ctt.pt (em caso de dúvida aconselhamos pesquisar no Google ou ChatGPT)
Como pode uma PME proteger-se destas ameaças?
Para as empresas se protegerem ataques de Phishing e os seus riscos devem adotar uma postura de prevenção ativa que combine processos internos, ferramentas de segurança e formação de colaboradores.
As empresas devem estabelecer políticas de utilização dos e-mails corporativos, tais como proibir o download de anexos de remetentes desconhecidos e a partilha de dados confidenciais através de canais não autorizados. Deve também definir protocolos de validação para transações financeiras antes de realizar pagamentos solicitados por e-mail.
Devem também usar soluções de segurança como filtros de spam de e-mail; antiphishing, antivírus, firewall e sistemas de monitorização em tempo real para bloquear e-mails e sites maliciosos. Pode implementar autenticação de 2 fatores, ou 2FA, para dificultar o acesso indevido.
Quanto à formação, a empresa deve realizar formações de segurança de informação com simulações de cenários de risco, para que os colaboradores possam identificar tentativas de fraude e incentivar a cultura de reporte imediato de mensagens suspeitas.
Outros conselhos:
– verificar sempre os remetentes de e-mails e mensagens;
– consultar diretamente o Portal das Finanças para confirmar a existência de dívidas ou comunicações;
– desconfiar de mensagens com tom urgente, erros ortográficos ou promessas de vantagens;
– evitar clicar em hiperligações suspeitas ou descarregar anexos desconhecidos;
– promover formação interna sobre cibersegurança e literacia digital.
Guia oficial de boas práticas contra mensagens fraudulentas
O guia publicado pelo CNCS apresenta recomendações úteis para cidadãos e organizações, incluindo:
– confirmar sempre com a entidade oficial antes de qualquer ação;
– nunca partilhar dados bancários ou pessoais por canais não verificados;
– reportar mensagens suspeitas às autoridades competentes.
🔗 https://www.cncs.gov.pt/pt/boas-praticas-contra-mensagens-instantaneas-fraudulentas/
Conclusão
A utilização da IA por cibercriminosos representa riscos sérios para as PME. Estas empresas, com estruturas mais reduzidas, estão particularmente expostas a este tipo de burlas, especialmente quando os colaboradores não têm formação adequada.
Criar uma cultura de prevenção é essencial. A AQIA disponibiliza recursos gratuitos que ajudam as organizações a avaliar o seu grau de maturidade digital e a reforçar a segurança da informação.
Além disso, investir em formação é um passo decisivo. Pessoas com conhecimentos em IA generativa estão mais bem preparadas para reconhecer os mecanismos técnicos usados em burlas sofisticadas, como clonagem de voz, geração de e-mails falsos ou manipulação de conteúdos.
🎓 Explorar os cursos da AQIA sobre inteligência artificial generativa: https://aqia.pt/
