Phishing em Portugal: como reconhecer e proteger a sua empresa de ataques por email

Phishing em Portugal é o ponto de partida da maioria dos ataques informáticos a empresas: o email fraudulento é o principal vetor de entrada, responsável por mais incidentes do que vulnerabilidades técnicas ou ataques de força bruta (CNCS, 2025). Em 2024, 68% das falhas de segurança empresarial envolveram o fator humano — erro, manipulação ou […]

Phishing em Portugal é o ponto de partida da maioria dos ataques informáticos a empresas: o email fraudulento é o principal vetor de entrada, responsável por mais incidentes do que vulnerabilidades técnicas ou ataques de força bruta (CNCS, 2025). Em 2024, 68% das falhas de segurança empresarial envolveram o fator humano — erro, manipulação ou credenciais comprometidas (Verizon DBIR, 2024). A Diretiva NIS2, em vigor em Portugal desde abril de 2026, torna a formação regular de colaboradores em reconhecimento de phishing uma obrigação legal para empresas de setores críticos. Este artigo explica como o ataque funciona, como o reconhecer e as 7 medidas concretas para proteger a sua empresa.

A diretora financeira recebeu um email do administrador às 18h32 de uma sexta-feira: “Precisamos de fazer uma transferência urgente de €38.000 para fechar um negócio. Não consigo ligar agora, trata já isto.” O tom era familiar. O endereço parecia correto. Fez a transferência.

Não era o administrador. Era um atacante que havia estudado a empresa durante semanas — os nomes dos responsáveis, os padrões de comunicação, os fornecedores habituais. O dinheiro desapareceu em 20 minutos. Foi parcialmente recuperado porque o banco foi contactado dentro de duas horas.

Este tipo de ataque chama-se phishing. O phishing em Portugal segue sempre o mesmo padrão: pesquisa, confiança e urgência — não é tecnicamente sofisticado, mas é muito mais fácil enganar uma pessoa do que derrubar uma firewall.

O que é phishing e como funciona?

Phishing é um ataque de engenharia social: o criminoso não força a entrada nos sistemas. Convence alguém dentro da empresa a abrir a porta.

O processo começa com pesquisa. Antes de enviar qualquer mensagem, o atacante estuda a empresa: quem são os responsáveis, com quem trabalham, quais os fornecedores habituais. O LinkedIn, o site da empresa e as redes sociais fornecem a maioria da informação necessária. Quanto mais dados recolhe, mais convincente fica a mensagem.

O email chega com aparência legítima — o logótipo do banco, o nome de um colega, o endereço de um fornecedor com uma letra diferente que passa despercebida. O link leva a uma página idêntica ao original. A pessoa introduz as credenciais. Nesse momento, o atacante tem acesso.

Existem quatro variantes principais:

  • Phishing genérico — enviado em massa para milhares de endereços. Menos personalizado e mais fácil de identificar, mas eficaz pela escala.
  • Spear phishing — personalizado para um destinatário específico. Usa o nome real, o cargo, referências concretas ao trabalho. A taxa de sucesso é significativamente mais alta.
  • CEO fraud / BEC — simula um pedido urgente de um responsável sénior, frequentemente orientado para transferências bancárias ou acesso a dados financeiros. É o phishing em Portugal que mais prejuízo financeiro direto causa.
  • Smishing — phishing por SMS ou WhatsApp. Comum em Portugal a simular entregas de encomendas, notificações bancárias ou pedidos urgentes de familiares.

Porque é que as PME são o alvo preferido?

Em ataques de phishing em Portugal, o tamanho da empresa não é critério. A seleção é feita por vulnerabilidade e por acesso — não por dimensão.

Um atacante que prepara uma campanha de spear phishing começa pelo LinkedIn: identifica os responsáveis financeiros, os padrões de comunicação interna, os fornecedores habituais. Numa PME, esta informação está quase sempre pública e sem filtro. O site da empresa, as redes sociais dos sócios e os perfis dos colaboradores fornecem tudo o que é necessário para construir um email convincente.

Há um segundo fator, menos óbvio: as PME são frequentemente o caminho para chegar a clientes maiores. Uma empresa de contabilidade tem acesso aos dados financeiros de dezenas de clientes. Um prestador de serviços de IT tem credenciais em dezenas de infraestruturas. Comprometer esse fornecedor abre portas que seria muito mais difícil forçar diretamente. Na cadeia de fornecimento, o elo mais fácil é sempre o alvo.

Como proteger a sua empresa do phishing: 7 medidas

Proteger a empresa de phishing em Portugal exige várias camadas combinadas. Formação, tecnologia e processos trabalham juntos para tornar o ataque muito menos provável — e a deteção muito mais rápida quando acontece.

1. Formação regular com simulações reais

Uma apresentação anual de segurança que toda a gente esquece não chega. O que funciona são simulações regulares: os colaboradores recebem emails de phishing falsos, são avaliados e, quando clicam, recebem formação imediata no contexto do erro. Ao fim de 12 meses de treino continuado, a taxa de cliques em ataques reais reduz de forma significativa (Proofpoint, State of the Phish, 2024). A formação sobre phishing em Portugal tem de ser documentada — a NIS2 exige-o.

2. Autenticação de dois fatores (MFA) em todas as contas

Phishing bem-sucedido quase sempre resulta em credenciais comprometidas. O MFA é a diferença entre isso ser um incidente crítico ou sem consequências: o atacante tem a password, mas não tem o segundo fator, que está no telemóvel do colaborador. Credenciais roubadas via phishing tornam-se inúteis. Aplique a todas as contas: email, sistemas de gestão, cloud, acesso remoto — não só ao administrador.

3. Proteção avançada de email

O Microsoft 365 e o Google Workspace têm proteções nativas, mas as configurações por defeito não são suficientes. DMARC, DKIM e SPF corretamente configurados impedem que atacantes enviem emails a fingir ser o domínio da empresa. Sem estas configurações, qualquer pessoa pode enviar um email com o nome da empresa como remetente. A filtragem anti-phishing avançada analisa links e anexos antes de chegarem à caixa de entrada.

4. Procedimento obrigatório para pagamentos e transferências

O CEO fraud resulta quase sempre de não existir um procedimento de verificação. Uma regra simples elimina a maioria destes ataques: qualquer transferência acima de determinado valor exige confirmação por chamada telefónica para o número registado — independentemente de quem pediu e com que urgência. A urgência é precisamente a técnica que o atacante usa para contornar o pensamento crítico.

5. Verificação de URLs e remetentes

Ensinar colaboradores a verificar o URL real antes de clicar — passando o rato sobre o link sem clicar — elimina uma grande parte dos ataques genéricos. O domínio “millennium-bcp.net” não é o banco. “fornecedor-pagamentos.com” não é o fornecedor. Esta verificação demora dois segundos e falha na maioria das empresas por falta de treino.

6. Proteção avançada de endpoints (EDR)

Se um colaborador clicar num link malicioso, o EDR identifica o comportamento anómalo e bloqueia o processo antes de o ataque se completar — mesmo que seja uma ameaça nunca vista. É a segunda linha de defesa quando a formação não foi suficiente.

7. Plano de resposta a incidentes de phishing

Um colaborador clicou. Os 30 minutos seguintes determinam se o incidente fica controlado ou escala para uma crise. Saber quem contactar, como revogar credenciais comprometidas, como avaliar que dados foram expostos e se há obrigação de reportar à CNPD — sem um plano documentado, estas decisões são tomadas em pânico e muitas vezes em sentido errado.

O que muda com a NIS2 em matéria de formação?

Dos requisitos da NIS2 em vigor desde abril de 2026, a formação documentada de colaboradores é o que mais empresas ignoram — e um dos primeiros aspetos verificados pelo CNCS em caso de auditoria após incidente.

Para as entidades abrangidas pelo DL 125/2025, a lei não deixa a formação ao critério de cada gestor: exige periodicidade definida, documentação e cobertura de temas específicos, entre os quais o reconhecimento de phishing e os procedimentos de resposta. Em caso de ataque com origem em phishing, a empresa tem de demonstrar que implementou medidas de prevenção adequadas. Sem essa evidência, a coima não recai sobre o ataque em si — recai sobre a ausência de prevenção.

A notificação ao CNCS em 24 horas é obrigatória quando há dados pessoais comprometidos — o que num ataque de phishing bem-sucedido é quase sempre o caso.

→  Sabe se a sua empresa está abrangida pela NIS2? Faça o questionário gratuito em 5 minutos

Casos reais de phishing em Portugal

Dois exemplos reais de phishing em Portugal ilustram as consequências de não ter proteção — e o que teria impedido cada ataque.

A transferência de €38.000 que quase não voltou

Uma empresa de serviços em Lisboa perdeu €38.000 numa sexta-feira à tarde. Um email a simular o administrador pediu uma transferência urgente para fechar um negócio. A responsável financeira, sob pressão do prazo, não verificou. O endereço de email tinha uma letra diferente no domínio — “admin@empresa-lda.com” em vez de “admin@empresa.com”. O dinheiro foi parcialmente recuperado porque o banco foi contactado dentro de duas horas. Com um procedimento de verificação de pagamentos implementado, o ataque não teria resultado.

As credenciais do M365 à venda na dark web

Uma empresa de contabilidade em Cascais descobriu que as credenciais de três colaboradores estavam à venda num fórum da dark web. Tinham sido recolhidas semanas antes através de uma página falsa do Microsoft 365, idêntica à original. Com acesso ao email de trabalho, o atacante tinha acesso a dados financeiros de dezenas de clientes da empresa. Não havia MFA ativo. Com MFA, as credenciais roubadas teriam sido completamente inúteis.

Proteja a sua empresa antes do próximo clique

Phishing em Portugal não precisa de derrubar firewalls nem explorar falhas técnicas. Basta um email bem construído e um momento de distração. Uma empresa sem formação documentada, sem MFA e sem proteção avançada de email é vulnerável a um ataque que pode custar €10.000 a €200.000 em prejuízo direto — e comprometer dados de clientes com consequências legais adicionais.

A ITH Solutions implementa proteção completa contra phishing para PME: configuração avançada de Microsoft 365, MFA, EDR, simulações de phishing e formação documentada para conformidade NIS2. Com planos a partir de €25 por utilizador por mês.

→  Faça o questionário de conformidade NIS2 — gratuito, em 5 minutos

Ou consulte os nossos planos de cibersegurança gerida e perceba qual se adequa à sua empresa.

Perguntas frequentes sobre phishing em Portugal

Como reconheço um email de phishing?

Os sinais de phishing em Portugal mais comuns: urgência artificial. (“responda nas próximas 2 horas”), remetente com domínio ligeiramente diferente do original, links que não correspondem ao texto visível, pedidos incomuns para a relação habitual com o remetente. O spear phishing pode não ter nenhum destes sinais — daí a importância de verificar por chamada qualquer pedido sensível, independentemente de quem parece ter enviado.

O que fazer se eu clicar num link de phishing?

Desligar o computador da rede imediatamente. Contactar o responsável de TI. Alterar todas as passwords a partir de um dispositivo diferente. Se introduziu credenciais, assumir que estão comprometidas e revogar o acesso. Se houver dados pessoais envolvidos, reportar ao CNCS (cert.pt) e à CNPD.

O Microsoft 365 protege contra phishing?

Parcialmente. O M365 tem proteções nativas, mas as configurações por defeito não são suficientes. Anti-phishing avançado, DMARC, DKIM e SPF têm de ser configurados ativamente. Mesmo com tudo configurado, um spear phishing bem construído pode passar — o que torna a formação de colaboradores indispensável.

O que é spear phishing e é mais perigoso que o phishing normal?

Sim. O spear phishing é personalizado para um destinatário específico: usa o nome real, o cargo, referências concretas ao trabalho e por vezes detalhes retirados do LinkedIn ou do site da empresa. A taxa de sucesso é muito mais alta do que o phishing genérico, e os ataques são mais difíceis de identificar mesmo por colaboradores com formação.

Phishing pode chegar por SMS ou WhatsApp?

Sim. Por SMS chama-se smishing — em Portugal é frequente a simulação de entregas de CTT ou notificações bancárias. Por chamada de voz chama-se vishing. Pelo WhatsApp é comum a simulação de familiares ou fornecedores em situação de urgência. O princípio é sempre o mesmo: criar pressão para agir sem verificar.

A NIS2 obriga a formação anti-phishing?

Sim, para as entidades abrangidas. O DL 125/2025 exige que as empresas implementem medidas de gestão de risco que incluem consciencialização e formação documentada dos colaboradores em cibersegurança. Formação regular é um requisito legal, não uma recomendação.

O seguro de cibersegurança cobre ataques de phishing?

Depende da apólice. Alguns seguros excluem ataques que resultem de ausência de medidas básicas — MFA não ativo ou falta de formação documentada são dois exemplos frequentes de exclusão. Antes de assumir que o seguro cobre, vale a pena verificar as condições com o mediador.

Um parceiro de confiança. Sempre ao seu lado