Cap. 02 — Segurança Digital e Golpes

Guia de Sobrevivência Urbana

Segurança Digital e Golpes

Os golpes mais comuns explicados por dentro — como funcionam, como os reconheces antes de seres vítima, e o que fazer se já aconteceu.

⚠ Actualizado Abril 2026 🇵🇹 Portugal 🇧🇷 Brasil

Como os Golpes Funcionam

A mecânica por trás de todos eles

Todos os golpes exploram o mesmo conjunto de emoções: urgência, medo, ganância ou autoridade. Quando sentes um destes estados ao receber uma mensagem ou chamada, pára. Respira. É nesse momento que o risco é máximo.

Os criminosos não precisam de ser tecnicamente sofisticados. Precisam apenas de que tu respondas antes de pensares. A defesa mais eficaz não é tecnológica — é o hábito de verificar antes de agir, sempre por um canal independente.

Regra de ouro

Nenhum banco, operador de telecomunicações, serviço de finanças, correio ou plataforma legítima alguma vez te pede que confirmes dados pessoais, senhas ou códigos de autenticação por SMS, email ou chamada telefónica não solicitada.

Os Golpes Mais Comuns

10 esquemas explicados por dentro

Phishing IRS / Autoridade Tributária (PT)

🇵🇹 Portugal · Activo Abr/2026

Como funciona: Recebes SMS ou email a imitar a Autoridade Tributária, com logótipo convincente, alegando que tens um reembolso pendente ou uma dívida urgente. O link leva a uma página que imita o Portal das Finanças e rouba as tuas credenciais NIF + senha, ou dados de cartão para "processar" o reembolso.

Sinais de alerta: Link diferente de autoridade-tributaria.pt / portaldasfinancas.gov.pt · pedido de dados de cartão · urgência ("prazo de 24h") · remetente de email com domínio estranho.

O Fisco NUNCA envia links por SMS nem pede dados de cartão por email. Acede sempre manualmente ao portal oficial — nunca por links recebidos.

Golpe Pix com CPF como chave (BR)

🇧🇷 Brasil · Activo Abr/2026

Como funciona: Criminosos abrem contas em instituições financeiras com os teus dados (obtidos em vazamentos) e registam o teu CPF como chave Pix nessa conta. A restituição do Imposto de Renda vai parar na conta deles. Também usada para interceptar pagamentos de terceiros que enviaram Pix para o teu CPF.

Como te protegeres: Entra no Pix Key Manager (disponível na app do Banco Central ou na app do teu banco) e verifica a que conta está vinculado o teu CPF. Se não reconheceres, inicia o processo de portabilidade ou remoção imediata.

Antes da restituição do IR: acede ao e-CAC e verifica em "Meus Dados" se a conta bancária de destino é a tua. Podes alterar até ao último dia de entrega da declaração.

Golpe MB Way / CTT / banco (PT)

🇵🇹 Portugal

Como funciona: Recebes SMS a imitar o CTT, banco ou uma plataforma de marketplace dizendo que tens uma entrega pendente ou uma cobrança. O link vai a uma página falsa que pede os dados do MB Way — número de telemóvel e PIN. Com isso, o criminoso gera pedidos de pagamento que aparecem no teu telemóvel como legítimos.

Sinal definitivo: O MB Way nunca envia links para autorizar pagamentos. Pedidos de pagamento chegam directamente na app, não por SMS com link.

Se chegou por link, é golpe. Fecha sem clicar. Se tens dúvida sobre uma entrega CTT, vai a ctt.pt manualmente com o número de objecto.

Golpe do WhatsApp — "Olá, mudei de número" (BR/PT)

🇧🇷 Brasil · 🇵🇹 Portugal

Como funciona: Recebes mensagem de número desconhecido a dizer que é um familiar ou amigo que mudou de telemóvel. Após alguma conversa, pede dinheiro com urgência ("estou sem acesso ao banco", "é uma emergência"). No Brasil, o vetor mais comum é clonar a foto de perfil do familiar.

Defesa: Liga para o número anterior do suposto contacto. Nunca transferes dinheiro sem confirmar por voz ou videochamada que é a pessoa real.

Vishing — falso funcionário do banco (PT/BR)

🇵🇹 Portugal · 🇧🇷 Brasil

Como funciona: Recebes chamada de alguém a apresentar-se como funcionário do banco. Dizem que detectaram movimento suspeito na tua conta e precisam de verificar os teus dados ou que vais receber um código SMS que deves dizer — esse código é o código de autorização de uma transferência.

Regra absoluta: Nenhum banco pede o código que chegou por SMS. Esse código autoriza uma operação — quem o pede quer executar essa operação na tua conta.

Se tens dúvida, desliga. Depois liga tu para o número no verso do cartão ou no site oficial do banco. Nunca rediscas o número que ligou.

Golpe do Pix com comprovante falso (BR)

🇧🇷 Brasil

Como funciona: Em transacções particulares (OLX, Facebook Marketplace, grupos de WhatsApp), o comprador envia um comprovante de Pix falsificado. O vendedor vê o "comprovante" e entrega o produto antes de confirmar na app do banco que o dinheiro chegou.

Regra: Só liberas o produto quando o valor está confirmado no extrato da tua conta — não quando vês o comprovante. Comprovantes são imagens facilmente falsificáveis.

Golpe do falso emprego / trabalho remoto (PT/BR)

🇵🇹 Portugal · 🇧🇷 Brasil

Como funciona: Oferta de trabalho por WhatsApp ou Telegram — normalmente "avaliador de produtos" ou "testador de apps". Pagam pequenas quantias iniciais para ganhar confiança, depois pedem que "invistas" valores crescentes em tarefas para receber comissão. No final, a plataforma bloqueia o levantamento até pagares mais uma taxa.

Sinal definitivo: Qualquer "emprego" que exija que coloques dinheiro próprio é golpe. Empregos legítimos não têm taxa de entrada.

Fraude por QR Code / link em local público (PT/BR)

🇵🇹 Portugal · 🇧🇷 Brasil

Como funciona: QR Codes falsos são colados sobre os legítimos em menus, postos de carregamento, parquímetros ou cartazes. Ao scanear, vais a uma página que imita o serviço original e pode roubar dados de pagamento.

Defesa: Inspeciona o QR Code fisicamente (pode ter sido colado por cima). Após scanear, verifica o URL antes de introduzir dados.

Golpe do amor / romance scam (PT/BR)

🇵🇹 Portugal · 🇧🇷 Brasil

Como funciona: Contacto em app de encontros ou redes sociais. Após semanas de conversa intensa (sem encontro presencial), surge uma crise: acidência, retenção alfandegária, oportunidade de investimento urgente. O pedido de dinheiro é sempre acompanhado de uma história emocional convincente.

Indicadores: Perfil com poucas fotos · recusa de videochamada · vida extraordinária (militar no estrangeiro, cirurgião offshore, empresário de sucesso) · nunca está disponível para se encontrar pessoalmente.

Faz uma pesquisa inversa de imagem das fotos do perfil (Google Images ou TinEye). A maioria usa fotos roubadas de militares, modelos ou atletas americanos.

Golpe do falso suporte técnico (PT/BR)

🇵🇹 Portugal · 🇧🇷 Brasil

Como funciona: Pop-up no browser ou chamada a dizer que o teu computador tem vírus e precisas de ligar para um número de suporte. Pedem que instales TeamViewer ou AnyDesk para "remover o vírus". Com acesso remoto, acedem ao teu homebanking ou roubam ficheiros.

Regra: Microsoft, Apple, Google e bancos nunca ligam a dizer que o teu computador tem vírus. Fecha o pop-up. Se tiveres dúvida sobre o estado do PC, usa um antivírus local (Malwarebytes gratuito é suficiente para uma verificação).

Se Já Foste Vítima

Protocolo — primeiras horas

A velocidade é o factor mais importante. Quanto mais depressa agires, maior a probabilidade de recuperar os valores ou limitar o dano. A vergonha não pode atrasar a resposta — estes golpes apanham pessoas inteligentes todos os dias.

Protocolo de fraude — executa por esta ordem

Urgente — fazer agora

Bloquear cartões e transferências

Abre a app do banco e bloqueia todos os cartões. Se perdeste acesso à app, liga para a linha de emergência do banco (número no verso do cartão ou no site oficial). Pede bloqueio imediato e regista o número do processo.

Urgente — fazer agora

Guardar todas as evidências

Prints de mensagens, emails, URLs visitados, comprovantes de transferência, histórico de chamadas. Faz screenshots de tudo antes de qualquer acção que possa apagar dados. Guarda em local seguro fora do dispositivo comprometido.

Alterar passwords em dispositivo limpo

Se o teu computador ou telemóvel foi comprometido, usa outro dispositivo. Muda primeiro a password do email principal (é a chave de tudo o resto), depois a do banco, depois as restantes. Activa autenticação a dois factores em todos os serviços críticos.

Apresentar queixa criminal

PT: Polícia Judiciária ou PSP — podes fazer queixa online em pgr.pt ou pessoalmente. BR: Polícia Civil (Delegacia de Crimes Cibernéticos se disponível no teu estado) ou pelo SaferNet Brasil. A queixa é necessária para o banco processar a reclamação e para o seguro se existir.

Reportar às autoridades de supervisão

PT: CNCS (cncs.gov.pt) e Banco de Portugal (para fraudes bancárias). BR: Banco Central pelo app BC+ para fraudes Pix; BACEN; Procon do teu estado. Estes relatórios ajudam a fechar as contas criminosas mais rapidamente.

Avisar a tua rede

Se a tua conta WhatsApp ou email foi comprometida, avisa os teus contactos directamente (por outro meio) que podem receber mensagens fraudulentas em teu nome. Faz isso antes dos criminosos a usarem para atacar as pessoas que confiam em ti.

Hábitos de Defesa

O que implementar esta semana

✓Activa autenticação a dois factores em email, banco e redes sociais. Usa uma app (Authy, Google Authenticator) em vez de SMS quando possível — SMS pode ser interceptado via SIM swap.
✓Usa um gestor de passwords (Bitwarden é gratuito e open-source). Passwords únicas por serviço significa que um vazamento num site não compromete os outros.
✓Verifica emails de remetente suspeito pelo endereço completo, não pelo nome display. "Autoridade Tributária" pode ter como endereço real noreply@fiscopt-2024.ru.
✓Configura alertas de transacção no banco. Notificação de cada movimento acima de €1/R$1 é o teu sistema de alerta precoce.
✓Verifica se os teus dados já foram vazados em haveibeenpwned.com — é gratuito e mostra em que fugas o teu email apareceu.
✓Desconfia de urgência artificial. Se uma mensagem diz que tens X horas para agir, isso é sinal de golpe, não de legitimidade.
✓Regra do canal independente: qualquer pedido inesperado de dinheiro ou dados, verifica por um canal diferente do que chegou. Recebeste SMS? Liga para o número oficial da entidade, que encontraste no site deles — não no SMS.

Recursos Oficiais

Onde reportar e onde aprender mais

🇵🇹Portugal

CNCS — cncs.gov.pt: Centro Nacional de Cibersegurança. Alertas, relatórios e formação gratuita sobre segurança digital.

cert.pt: Para reportar incidentes de cibersegurança. Contacto de emergência: cert@cncs.gov.pt

Banco de Portugal: Linha para reportar fraudes bancárias: 213 130 000.

PSP online: Podes apresentar queixa por crimes digitais em participações.psp.pt

🇧🇷Brasil

BACEN / Pix: App do Banco Central (BC+) para reportar fraudes Pix. Telefone: 145.

SaferNet Brasil — safernet.org.br: Central de ajuda para crimes e incidentes online, incluindo suporte a vítimas.

Procon: Para fraudes comerciais em plataformas digitais. Cada estado tem o seu portal.

Delegacias especializadas: SP, RJ, MG, RS, PR têm Delegacias de Crimes Cibernéticos.

Checklist de Higiene Digital

30 minutos para implementar — faz hoje

Checklist de Higiene Digital

Clica para marcar cada item 0/7 concluídos

Instalar um gestor de passwords (Bitwarden — gratuito e open-source)

Activar 2FA em email, banco e redes sociais (app autenticador, não SMS)

Actualizar email e telemóvel de recuperação em todas as contas importantes

Rever sessões activas (Google, Facebook, Apple) e terminar as desconhecidas

Desligar partilha de localização desnecessária em apps que não precisam dela

Rever apps com acesso à conta Google/Apple — revogar as que não reconheces

Guardar cópias dos códigos de recuperação 2FA em local offline seguro

← Capítulo 01 Dinheiro sob Pressão Capítulo 03 → Planejamento Financeiro