Burlas por SMS: o que são phishing, smishing e spoofing

Nuno Cruz

25 de Março, 2026

Homem observa no telemóvel um alerta suspeito que simula banca online, num contexto de possível burla por SMS

As burlas por SMS não começaram ontem, mas continuam a resultar porque mudam de forma sem mudar de lógica. A mensagem parece importante, chega com urgência e empurra a pessoa para um clique rápido.

É aqui que entram três palavras que aparecem cada vez mais em alertas de segurança: phishing, smishing e spoofing. Parecem termos técnicos, mas a diferença entre eles é simples – e percebê-la ajuda a travar a fraude mais cedo.

Em poucas linhas

  • Phishing é a tentativa de roubar dados ou dinheiro fazendo-se passar por uma entidade legítima.
  • Smishing é phishing feito por SMS.
  • Spoofing é a técnica usada para imitar um número, e-mail ou identidade visual para parecer autêntico.
  • O objetivo é quase sempre o mesmo: levá-lo a clicar num link, partilhar dados ou autorizar uma operação.

Veja também o nosso guia geral para evitar burlas por MB WAY e SMS.

O que é phishing

Phishing é o nome dado à fraude em que alguém se faz passar por uma empresa, banco, entidade pública ou serviço conhecido para obter dados pessoais, credenciais, códigos ou dinheiro. Pode acontecer por e-mail, por chamada, por SMS ou até nas redes sociais.

Na prática, o ataque tenta sempre criar um cenário credível: conta bloqueada, atividade suspeita, encomenda parada, reembolso pendente ou verificação urgente de identidade.

O que é smishing

Smishing é uma forma específica de phishing feita por mensagem de texto. Em vez de um e-mail, recebe um SMS com um problema urgente para resolver.

É comum que a mensagem fale de uma encomenda retida, taxas alfandegárias, morada incompleta, falha na entrega, bloqueio de conta ou necessidade de validar dados. O ponto de contacto é o telemóvel, mas o objetivo costuma ser levá-lo para uma página falsa.

O que é spoofing

Spoofing não é o conteúdo da burla em si. É a máscara. Trata-se da técnica usada para copiar ou imitar o número de telefone, o e-mail ou a aparência de uma entidade oficial para tornar o contacto mais convincente.

É por isso que uma mensagem pode parecer vir do mesmo remetente de comunicações legítimas, ou uma chamada pode surgir com um número que reconhece. Isso, por si só, não prova autenticidade.

Como estas três coisas se juntam num ataque real

Na maioria dos casos, os três elementos não aparecem isolados.

Um burlão pode usar spoofing para fazer a mensagem parecer legítima, enviar o contacto por smishing e, no fundo, estar a executar uma operação de phishing. Para a vítima, tudo parece uma comunicação normal. Para o atacante, basta um clique ou um código.

Os sinais mais comuns num SMS fraudulento

  • tom de urgência ou ameaça;
  • pedido para clicar “já” num link;
  • referência a conta bloqueada, taxa em falta ou encomenda suspensa;
  • pedido de dados pessoais, bancários ou códigos recebidos por SMS;
  • mensagem que parece legítima só porque mostra um nome conhecido ou um número familiar;
  • texto estranho, domínio pouco claro ou página que pede mais dados do que seria normal.

Porque é que os exemplos com encomendas continuam a enganar

Os alertas oficiais dos CTT mostram que continuam a circular SMS falsos sobre taxas alfandegárias, moradas incorretas, falhas de entrega e encomendas retidas. O padrão repete-se: a mensagem pede um clique e encaminha para um site que não pertence aos CTT.

Quando há compras online, entregas à espera ou encomendas internacionais, a fraude torna-se ainda mais convincente porque encaixa num contexto real da vida da pessoa.

O que deve fazer quando recebe uma mensagem destas

O mais importante é não reagir por impulso.

  • Não clique no link.
  • Não responda à mensagem.
  • Não partilhe códigos, passwords ou dados bancários.
  • Se a SMS disser que é do banco, dos CTT ou de outra entidade conhecida, entre pelo canal oficial: app, site digitado por si ou contacto oficial publicado pela entidade.
  • Se já clicou ou autorizou algo, contacte imediatamente o banco ou prestador de serviços de pagamento.
  • Se houve fraude ou movimentos não autorizados, denuncie o caso à PSP, GNR, PJ ou Ministério Público.

Em resumo

Phishing é a fraude. Smishing é essa fraude por SMS. Spoofing é a técnica usada para a fazer parecer verdadeira. Perceber esta diferença ajuda a ganhar tempo, o que muitas vezes evita o clique errado.

Fontes:

© Copyright 2026 - Todos os direitos reservados

Quem somos