Quem escreve isto, e porquê

#intro

Esta página existe para te dar, de uma vez só, as poucas coisas que costumam apanhar pessoas normais desprevenidas online. Sem jargão, sem te tratar como se não percebesses nada, e sem te vender nada.

Sou o Jason. Há muitos anos que trabalho em cibersegurança e em serviços digitais. No dia-a-dia, vejo as mesmas situações repetirem-se: pessoas inteligentes, com vidas ocupadas, a serem apanhadas por coisas que ninguém lhes explicou em português simples. Não porque não percebam, mas porque ninguém parou para lhes dizer.

A página nasce de uma dessas situações. Em maio de 2026, quando começaram a aparecer acessos suspeitos a processos clínicos de crianças no SNS24, escrevi uma mensagem para o grupo da escola da minha filha a tentar explicar o que se passava e o que fazer. Foi partilhada para fora do grupo. Apercebi-me que faltava um sítio neutro, em português, escrito por uma pessoa, para onde se pudesse mandar gente quando uma coisa destas acontece. Isto é esse sítio.

O que vais encontrar aqui são princípios, não um feed de notícias. Quando há uma situação a decorrer em Portugal que valha a pena assinalar, fica uma nota datada lá em cima, curta, e depois sai. As burlas em si mudam de embalagem todos os meses, mas a forma por baixo é quase sempre a mesma. Quando reconheces a forma, deixas de te preocupar com a moda do mês.

Algumas coisas que esta página não é, para tirar dúvidas. Não é da minha empresa nem de empresa nenhuma. Não tem publicidade, não tem rastreio, não recolhe dados. Não há formulário de contacto, nem caixa de comentários, nem newsletter para subscrever. Não vai pedir-te nada. É só isto: uma página, que podes ler, fechar, ou colar num grupo de WhatsApp quando alguém precisar.

Para temas que ficam fora daqui, há material excelente do CNCS e do Centro Internet Segura, no fim da página.

  • A página é gratuita, independente, e escrita por uma pessoa, não por uma instituição.
  • Foca-se nas coisas que apanham mesmo as pessoas, não num catálogo de tudo.
  • Cada secção tem o seu próprio link, para partilhares só a parte que interessa.
  • Não há sítio para fazeres perguntas. As respostas estão aqui dentro.

O email e a chave-mestra

#email

Quem controla o teu email controla quase tudo o resto. É essa a frase que importa, e é por isso que esta secção vem antes das outras.

Pensa nos serviços que usas: o banco, o Portal das Finanças, o SNS24, as redes sociais, a App Store, a conta da luz, o sítio onde compras roupa. Quando te esqueces da palavra-passe, todos eles fazem a mesma coisa: enviam um link de recuperação para o teu email. Esse link permite definir uma palavra-passe nova, sem ter de provar mais nada. Ou seja, quem entra no email consegue, em minutos, recuperar acesso a quase tudo o que tens.

Isto não é uma falha de cada serviço. É como o sistema foi pensado para funcionar, e funciona bem desde que a porta do email esteja fechada. O problema aparece quando essa porta não está fechada como devia.

A forma mais comum como uma conta de email cai não é por um ataque sofisticado. É por reutilização de palavras-passe. Usas a mesma palavra-passe no email e num fórum qualquer. O fórum tem uma fuga, a palavra-passe aparece numa lista, e quem tem a lista experimenta-a em todos os serviços conhecidos: Gmail, Outlook, iCloud, bancos, redes sociais. É automático, em massa, milhares de milhões de tentativas por mês a nível mundial. Se a palavra-passe do email é igual à de outro sítio qualquer, mais cedo ou mais tarde alguém vai entrar.

A conclusão prática é simples e dá para fazer hoje:

  • A palavra-passe do email principal tem de ser única. Diferente de tudo o resto que usas. Não uma variação ("Email123!" depois "Banco123!"), uma palavra-passe completamente diferente.
  • Tem de ser longa. Esquece a complicação com símbolos. O que conta é o comprimento. Uma frase de quatro ou cinco palavras inventadas é mais segura, e mais fácil de decorar, do que P@$$w0rd!.
  • Imediatamente a seguir, ativa a verificação em dois passos no email (secção a seguir).

E vale a pena, de vez em quando, abrir as definições de segurança do email e ver se há regras de reencaminhamento que não foste tu que puseste, ou um número de telemóvel de recuperação que já não é teu. Quem entra num email muitas vezes deixa uma porta dos fundos aberta para voltar.

Se trataste do email como deve ser, ganhaste mais segurança do que com qualquer outra coisa que vás fazer neste guia.

  • O email é a chave-mestra. Quem o controla recupera a palavra-passe de quase tudo o resto.
  • A palavra-passe do email tem de ser única e usada só ali.
  • Reutilizar palavras-passe é a forma número um como contas reais caem, todos os dias, em massa.
  • Comprimento conta mais do que símbolos esquisitos.
  • Verifica de vez em quando se ninguém te deixou um reencaminhamento ou um número de recuperação que não reconheces.

Palavras-passe e gestores

#palavras-passe

A regra que importa não é "palavras-passe complicadas". É não repetires a mesma em sítios diferentes.

A maior parte das contas que cai todos os dias não cai porque alguém adivinhou uma palavra-passe difícil. Cai porque a mesma palavra-passe estava em vários sítios e um deles teve uma fuga. A partir desse momento, tudo o que partilhava essa palavra-passe está aberto. O atacante não precisa de adivinhar nada, só de experimentar.

Por isso, o conselho moderno mudou. Em vez de te pedirem palavras-passe "fortes" com maiúsculas, números e símbolos (uma exigência que toda a gente resolve da mesma maneira previsível), o consenso atual, incluindo as próprias recomendações técnicas norte-americanas que servem de referência ao resto do mundo, é outro:

  • Comprimento bate complexidade. Uma frase longa e única é melhor do que uma palavra curta cheia de símbolos.
  • Nada de regras de troca por calendário. Mudar a palavra-passe de três em três meses não te protege, só te empurra para variações fáceis de adivinhar. Muda-a quando há sinal de que foi exposta, não pelo calendário.
  • Cada sítio com a sua. Esta é a única regra que importa de verdade.

O problema óbvio: ninguém consegue decorar dezenas de palavras-passe diferentes. Por isso a solução prática é um gestor de palavras-passe.

Um gestor é uma aplicação que inventa uma palavra-passe diferente para cada serviço, guarda-as encriptadas, e preenche-as por ti quando entras no site. Tu só precisas de decorar uma, a do próprio gestor (essa sim, longa e única). O telemóvel e o computador sincronizam, e tens as tuas palavras-passe contigo em todo o lado.

A primeira reação de muita gente é desconfiar: "estou a pôr tudo num só sítio?". A resposta honesta é sim, e isso é melhor do que a alternativa real, que é ter a mesma palavra-passe em vinte sítios diferentes, ou tê-las escritas num bloco de notas. Um gestor bem feito guarda as tuas palavras-passe encriptadas com uma chave que só tu tens. Nem o fornecedor as consegue ler.

Uso e recomendo o Proton Pass, gratuito, de uma empresa suíça focada em privacidade. Há outros bons (1Password, Bitwarden), todos resolvem o problema. O importante é começares a usar um.

Quando começares, não tentes mudar todas as palavras-passe num fim de semana. Faz por ordem de importância: primeiro o email, depois o banco, depois as redes sociais e o resto vai entrando à medida que usas os serviços. Em dois meses, está feito.

  • A regra única: nunca uses a mesma palavra-passe em dois sítios diferentes.
  • Comprimento conta mais do que símbolos. Uma frase longa funciona.
  • Não precisas de mudar palavras-passe por calendário. Muda quando há sinal de exposição.
  • Um gestor de palavras-passe resolve o problema de memória. Só decoras uma.
  • Eu uso o Proton Pass. Há outros bons. O importante é começares.

Verificação em dois passos

#dois-passos

A verificação em dois passos, ou 2FA (do inglês "two-factor authentication"), é o segundo cadeado da porta. Mesmo que alguém descubra a tua palavra-passe, fica do lado de fora sem o segundo passo.

A ideia é simples. A palavra-passe é uma coisa que tu sabes. O segundo passo é uma coisa que tu tens (o telemóvel, normalmente). Para entrar na conta, é preciso os dois. Uma palavra-passe roubada, por si só, deixa de chegar.

Para a maior parte das pessoas, é a única medida que sozinha trava a maior parte dos ataques automáticos que descrevi na secção anterior. Vale o minuto que demora a ativar.

Como ativar, e por que ordem

Faz por esta ordem, do mais importante para o menos:

  1. Email principal. Sempre primeiro. Já viste porquê na secção sobre a chave-mestra.
  2. Banco. Em Portugal, a maior parte já obriga ao código MB Way ou ao aplicativo do banco para confirmar operações; se ainda não usas, ativa.
  3. Redes sociais. Especialmente as que estão ligadas ao teu negócio ou à tua reputação (Instagram, Facebook, LinkedIn, X).
  4. Tudo o resto que tenha a opção.

SMS, aplicação, ou chave física

Há várias maneiras de receber o segundo código. Por ordem de segurança:

  • Aplicação de códigos (TOTP): gera no telemóvel um código novo de seis dígitos a cada trinta segundos. Funciona sem internet, sem rede móvel, e não passa por nenhum operador. É a opção recomendada. Exemplos: Proton Pass (já gera códigos), Google Authenticator, Aegis (Android), 2FAS, Authy.
  • SMS: o sistema envia-te um código por mensagem. Funciona, mas é o método mais fraco, porque alguém com acesso à tua operadora pode redirecionar o teu número. Melhor do que nada. Se for a única opção que o serviço oferece, usa.
  • Chave física (FIDO2): um pequeno dispositivo USB ou NFC. É o mais seguro de todos, mas não é necessário para uso comum. Pensa nisso só se tiveres uma conta especialmente exposta.

Se um serviço só oferece SMS, está bem. Se oferece aplicação e SMS, escolhe a aplicação.

Os códigos de recuperação (este é o passo que toda a gente salta)

Quando ativas a verificação em dois passos, o serviço dá-te uma lista de códigos de recuperação para o caso de perderes o telemóvel. Oito ou dez códigos de uso único.

Guarda-os. Imprime, escreve num papel, mete num envelope numa gaveta. Ou guarda-os no teu gestor de palavras-passe, numa nota separada. O que não podes é fechar essa janela sem os teres guardado em algum lado fora do telemóvel.

Quem não guarda os códigos de recuperação, mais cedo ou mais tarde, perde o acesso à sua própria conta no dia em que muda de telemóvel. Acontece muito, e a recuperação por outros meios pode demorar dias ou semanas, se for sequer possível.

  • A verificação em dois passos trava a maior parte dos ataques automáticos, mesmo que a palavra-passe vaze.
  • Ativa-a primeiro no email, depois no banco, depois nas redes sociais.
  • Aplicação de códigos é melhor do que SMS. SMS é melhor do que nada.
  • Guarda os códigos de recuperação fora do telemóvel. É o passo que ninguém faz, e o que dá problemas anos depois.

Phishing: como reconhecer

#phishing

Phishing não é um problema técnico. É uma mensagem feita para tu agires depressa, sem pensar, porque pareceu credível.

Vem por email, por SMS (a essa variante chamam-lhe smishing), ou por chamada (chamam-lhe vishing). A embalagem muda, o esqueleto é o mesmo: alguém finge ser uma entidade em quem confias, mete pressa, e pede-te uma ação. Clicar num link, inserir credenciais, transferir dinheiro, partilhar um código.

Portugal é um alvo frequente. Segundo o relatório do CNCS de 2025, o phishing e o smishing foram a categoria de incidente mais registada no ano anterior, e o setor mais imitado é o bancário. Não é porque os portugueses sejam mais ingénuos do que outra gente qualquer. É porque o português é uma língua menos coberta pelos filtros automáticos do que o inglês, e porque o nosso ecossistema tem alguns alvos especialmente apetecíveis (MB Way, Portal das Finanças, SNS24, CTT).

Porque é que funciona

Phishing não explora falhas dos computadores. Explora confiança e pressa. A mensagem chega num momento em que a tua atenção está noutro lado: estás a sair de casa, a tua filha está a chorar, estás à espera de uma encomenda real. A pressa que a mensagem mete encaixa na pressa que já tens. Cinco segundos depois clicaste, e foste para um sítio que parece igual ao verdadeiro.

Quem te enviou a mensagem pode até saber coisas verdadeiras sobre ti. O teu nome, a tua morada, o número de utente, o nome do teu filho. Isso é desconfortável de ler, mas não é mágica. São dados que vazam constantemente de uma instituição ou outra, e que circulam no mercado clandestino. O atacante compra a lista, escreve a mensagem com os dados certos, e o resultado parece pessoal.

A regra única que resolve quase tudo: saber detalhes sobre ti não prova que a pessoa é quem diz ser.

Os sinais

  • Meter pressa. "Hoje", "nas próximas duas horas", "ou perde o reembolso", "a sua conta foi comprometida, aja já". Pressa real existe; pressa que vem de fora a empurrar-te, com uma janela apertada, é quase sempre falsa.
  • Um link no meio da mensagem. Mesmo que o link "pareça" oficial. Endereços fáceis de falsificar: ctt-encomendas.com, at-financas.pt, sns24-pt.com. Nenhum desses é real. Os reais são ctt.pt, portaldasfinancas.gov.pt, sns24.gov.pt.
  • Pedir credenciais ou códigos por telefone. Um banco a sério nunca te pede a palavra-passe completa, o código do MB Way, nem te diz para transferires dinheiro para uma "conta segura". Estas frases são, em si mesmas, o sinal.
  • Voz familiar, número conhecido, mas algo está fora do lugar. Em 2025 e 2026, começaram a aparecer em Portugal chamadas com o número do banco real a aparecer no telemóvel (chama-se a isso falsificação de identificador de chamada). Em alguns casos, a voz é clonada por inteligência artificial a partir de uma chamada anterior. Se a história não bate certo, desliga. Liga tu para o número oficial do banco, escolhido pelo teu lado, e confirma.

A voz já não é prova

Há uma coisa nova que importa perceber bem, porque está a piorar depressa: a tua voz, e a voz das pessoas de quem gostas, podem ser clonadas por inteligência artificial a partir de muito pouco material. Bastam alguns segundos de áudio. O que está disponível no mundo é muito mais do que as pessoas imaginam: mensagens de voz reencaminhadas em conversas de grupo, vídeos de festas da escola no YouTube, stories nas redes sociais com som, gravações de reuniões de pais, podcasts, entrevistas. Tudo isso serve.

Com esses segundos, um atacante consegue ligar-te a fingir que é alguém da tua família. Há duas direções e ambas estão a acontecer:

  • Recebes uma chamada com a voz do teu filho a dizer que está em sarilhos, que precisa de dinheiro já, que está num hospital ou num posto da PSP. A voz é dele. O pedido não é.
  • O teu filho recebe uma chamada com a tua voz, ou com a voz da mãe, a pedir-lhe para fazer alguma coisa: dar um código que chegou ao telemóvel, abrir a porta a alguém, passar uma morada, ir ter a um sítio. A voz é tua. O pedido não é.

A regra antiga estende-se: saber detalhes sobre ti não prova identidade, e reconhecer a voz também já não prova. Esses dois pilares caíram, e é melhor habituarmo-nos depressa do que apanharmos um susto depois.

A palavra-chave familiar

A defesa prática contra isto é simples e funciona: combinar com a tua família uma palavra-chave que só vocês sabem. Uma palavra ou uma frase curta, escolhida em conjunto, nunca escrita em chats nem partilhada em mais lado nenhum. Se uma chamada de alguém que diz ser teu filho, teu pai, a tua mulher, ou outro familiar próximo, te pede dinheiro, um código, ou uma ação rápida, perguntas a palavra-chave. Se a pessoa não souber, não se transfere nada, não se confirma nada, não se faz nada. Desliga, e liga tu de volta para o número que já tens guardado dessa pessoa.

Vale a pena ter essa conversa em casa hoje. Cinco minutos, uma palavra escolhida, e fica feita.

O que tu controlas: a pegada de voz e imagem

A matéria-prima destes ataques é áudio público. Quanto menos áudio e vídeo dos teus filhos andar por aí em redes abertas, mais difícil fica clonar a voz deles. Não é paranoia, é higiene básica:

  • Evita publicar vídeos dos teus filhos em contas públicas. Se queres partilhar com a família, partilha em álbuns fechados ou em conversas privadas, não em stories abertas.
  • Evita publicar a voz deles em peças escolares, recitais, apresentações de fim de ano, em sítios indexáveis. Se a escola publica, podes pedir que retirem.
  • Mensagens de voz tuas e dos teus filhos não precisam de ficar gravadas para sempre em conversas e arquivos. Vai limpando.

Não vais tapar tudo. Não tens de tapar tudo. Reduzir a superfície já reduz o risco.

A regra prática

Sempre que receberes uma mensagem ou chamada inesperada que mete pressa e pede algo, faz uma coisa só: fecha o canal por onde veio e abre tu o canal oficial pelo teu lado. Se diz que é do banco, liga tu para o número do banco que tens no cartão. Se diz que é dos CTT, abre tu a app dos CTT ou o site ctt.pt. Se diz que é da Autoridade Tributária, entra tu no Portal das Finanças. Se diz que é um familiar em apuros, desliga e liga tu para o número que já tens dessa pessoa, no teu lado.

Não é desconfiança a mais. É a forma certa de tratar qualquer coisa que mete pressa e veio sem ser pedida.

  • Phishing explora confiança e pressa, não falhas técnicas.
  • Saber detalhes sobre ti não prova que a pessoa é quem diz ser. Reconhecer a voz também já não prova.
  • Pressa + link + pedido de credenciais ou dinheiro = quase sempre burla.
  • Combina uma palavra-chave familiar para chamadas de aflição. Sem palavra-chave, não há transferência nem informação.
  • Não deixes a voz e a imagem dos teus filhos em contas públicas. Áudio público é matéria-prima para clonagem.
  • Em dúvida, fecha por onde veio e abre o canal oficial pelo teu lado.

Se houver uma fuga dos teus dados

#fuga-de-dados

Uma fuga de dados quase nunca é culpa tua. O que importa é o que fazes a seguir, com calma.

Nem todas as fugas têm o mesmo peso. Antes de qualquer outra coisa, vale a pena perceber o que ficou exposto, porque a resposta certa muda muito conforme a resposta a essa pergunta.

  • Um email e uma palavra-passe expostos numa fuga de um fórum velho? Inconveniente, mas resolve-se: muda essa palavra-passe nesse sítio e, mais importante, em qualquer outro sítio onde a tenhas reutilizado.
  • Dados de identificação (nome, morada, número de utente, número de identificação fiscal, nome dos filhos)? Não te tiram dinheiro diretamente. O risco é serem usados para soar credíveis numa burla mais tarde (ver a secção sobre phishing).
  • Dados clínicos? Sensíveis por princípio. Não dão acesso a contas com dinheiro. Os riscos reais são exposição da intimidade e uso em engenharia social.
  • Dados de cartão de crédito ou credenciais bancárias? Aí sim, contacta o banco imediatamente e cancela o cartão. É a única situação onde a urgência é mesmo a sério.

Repara: das quatro categorias acima, só uma exige uma ação rápida em modo de emergência. As outras três pedem-te atenção informada, não pânico. Quem te empurrar para pânico, normalmente está a tentar vender-te alguma coisa.

Se foi o teu processo clínico no SNS24

Em 2026, a possibilidade de alguém ter acedido sem motivo ao processo clínico passou a ser algo concreto em Portugal. Há duas coisas que podes (e deves) fazer.

Ver quem tem acedido ao teu processo clínico

  1. Entra em servicos.min-saude.pt (este é o portal pessoal do SNS24). Se a app não der esta opção, abre no navegador do telemóvel ou do computador.
  2. Faz login com a Chave Móvel Digital ou com o Cartão de Cidadão (precisas de leitor e PIN para o cartão).
  3. Vai a "O meu perfil", desce até ao fim da página, e abre "Ir para quem viu a minha informação" (a designação exata pode mudar um pouco no portal; a opção fica na zona inferior do perfil).
  4. Vais ver uma lista de acessos, com data, hora, profissional e unidade de saúde.

Se tens filhos menores, faz o mesmo para cada um, entrando no perfil deles a partir do teu perfil. Se vires um acesso que não reconheces, tira um print, e segue para o passo seguinte.

Ativar as notificações de acesso

No mesmo "O meu perfil", desce até ao fim e abre "Ir para autorizações". Ativa a opção de notificação por email sempre que um profissional de saúde credenciado aceder aos dados. Tens de ativar separadamente para cada pessoa do agregado familiar.

A partir do momento em que isto fica ativo, passas a receber um aviso imediato sempre que alguém entrar no teu processo. Voltas a ter visibilidade.

Apresentar queixa à CNPD

Quando achas que os teus dados pessoais foram tratados de forma indevida (acessos não autorizados, recolha sem fundamento, recusa de acesso aos próprios dados, marketing sem consentimento, etc.), tens o direito de apresentar queixa à Comissão Nacional de Proteção de Dados, a CNPD. É gratuito.

  1. Vai a cnpd.pt/cidadaos/participacoes/. Há versão portuguesa e inglesa.
  2. Escolhe o formulário que corresponde à situação. Normalmente, para um acesso indevido ou uma fuga, é o formulário de reclamação por tratamento ilícito de dados.
  3. Descreve os factos de forma resumida: o quê, onde, quando, e como sabes. Indica se tens provas (prints, emails), mas não as anexes no primeiro passo, basta sinalizar que existem. A CNPD pede-as depois se precisar.
  4. Submete e guarda o número de processo que te é dado.

A queixa não é um gesto vazio. Cria um registo formal, contribui para o histórico que obriga à investigação, e em casos de violação de dados desencadeia obrigações para a entidade responsável. Quantas mais queixas, mais peso a investigação tem.

Em paralelo, podes (e em casos graves deves) apresentar também queixa-crime à PSP, GNR ou Polícia Judiciária, ou através do portal de queixa eletrónica do MAI. As duas vias não se anulam, complementam-se.

  • Saber o que ficou exposto determina o que precisas de fazer. Não trates tudo como emergência.
  • Cartão de crédito ou credenciais bancárias: liga ao banco já. Tudo o resto: atenção informada, não pânico.
  • No SNS24, podes ver quem tem acedido ao teu processo e ativar notificações por email para cada acesso futuro.
  • A queixa à CNPD é gratuita, faz-se em cnpd.pt, e basta descrever os factos no formulário.
  • Em casos graves, queixa-crime à PSP, GNR ou PJ corre em paralelo com a CNPD.

Armazenamento gratuito e cópias de segurança

#backups

O armazenamento gratuito tem uma armadilha silenciosa. Se não usas a conta durante muito tempo, alguns serviços apagam tudo, e o aviso passa-te ao lado porque vai para um sítio onde já não entras.

A história é sempre a mesma. A pessoa instalou o Google Fotos no telemóvel há oito anos. As fotos sincronizaram automaticamente, durante anos, sem que ela pensasse no assunto. Entretanto mudou de telefone, mudou de email principal, deixou de entrar nessa conta. Dois anos depois, a Google envia uns avisos para esse email antigo, ninguém os lê. Um dia precisa de uma foto da filha pequena que sabe que tinha, abre a conta, e está vazia. As fotos da infância da filha desapareceram. Esta história acontece todos os meses, com pessoas inteligentes, e é evitável.

O que os serviços gratuitos fazem (na prática, hoje)

  • Google. Considera uma conta inativa após dois anos sem entrar nela. Avisos para o email da conta vão sendo enviados antes. Aplica-se a Gmail, Google Drive, Google Fotos, tudo o que está debaixo da mesma conta. Há exceções (se tens uma subscrição ativa, ou um saldo de gift card, conta como uso).
  • Apple iCloud. As condições da Apple permitem encerrar a conta após um ano de inatividade, com aviso por email trinta dias antes. É um prazo mais curto do que o do Google.
  • Microsoft OneDrive. A política não é totalmente clara, mas trata-a como "dois anos no máximo, antes se excederes a quota gratuita".

Repara: nenhum destes serviços é mau. Cada um tem uma política legítima, e cada um avisa antes de apagar. O problema é que o aviso vai para o sítio onde já não entras. Por isso a regra não é "desconfiar do serviço". A regra é "não dependeres só de um".

A regra prática

Nunca tenhas uma única cópia daquilo que não queres perder. É só isto.

A versão técnica chama-se "regra 3-2-1" (três cópias, em dois sítios diferentes, com uma fora de casa). Para a maioria das pessoas, uma versão simplificada chega: duas cópias, em sítios diferentes, e pelo menos uma delas fora do telemóvel.

Algumas combinações que funcionam, escolhe a que mais te conviver:

  • Fotos do telemóvel: sincronizadas automaticamente para a nuvem (iCloud, Google Fotos, etc.) mais uma cópia anual para um disco externo guardado em casa. Se a nuvem falha ou apaga, tens o disco. Se o disco morre, tens a nuvem.
  • Documentos importantes: uma pasta no computador mais sincronização para uma nuvem que tu uses regularmente (não uma esquecida há cinco anos).
  • Coisas raras e irrecuperáveis (vídeos da família, scans de documentos antigos): vale a pena ter três cópias, e uma delas em casa de alguém de confiança ou num cofre digital encriptado.

E quando tens uma conta de armazenamento gratuita que não estás a usar como segunda cópia, em vez de a deixar com fotos a apodrecer lá dentro, decide. Ou passa a entrar nela uma vez por ano (basta abrir o site, fazer login, sair), ou descarrega tudo o que lá está para um sítio que uses, e podes esquecer a conta.

  • O armazenamento gratuito pode apagar tudo após dois anos sem uso (um ano no caso da Apple). O aviso vai para um email que talvez já não leias.
  • Nunca tenhas uma única cópia de algo que não consegues recuperar.
  • Para a maioria das pessoas chega: duas cópias, em sítios diferentes, uma delas fora do telemóvel.
  • Se tens uma conta de nuvem antiga com coisas importantes, entra nela ou tira de lá o que importa. Não a deixes em piloto automático para sempre.

Burlas comuns em Portugal

#burlas

Os SMS, emails e chamadas de burla que circulam por cá seguem todos a mesma forma. Quando reconheces a forma, o conteúdo deixa de importar.

Os disfarces mudam com a estação (IRS na primavera, encomendas em dezembro, SNS24 quando há um susto na imprensa), mas o esqueleto por baixo é sempre o mesmo. Três ingredientes:

  1. Autoridade aparente: uma marca em que confias (CTT, Finanças, o teu banco, MB Way, SNS24, PSP).
  2. Pressa: uma janela apertada, hoje mesmo, ou perdes algo.
  3. Uma ação: clicar num link, transferir dinheiro, partilhar um código.

Se dois destes três aparecem juntos numa mensagem ou chamada inesperada, trata-a como suspeita até confirmares por outro canal.

A seguir, os disfarces mais frequentes que vão chegar ao teu telemóvel este ano.

"CTT: a sua encomenda está retida"

Versão clássica em Portugal. Recebes um SMS dizendo que uma encomenda está retida na alfândega ou no centro de distribuição, e que tens de pagar uma pequena taxa (1,80 €, 2,99 €, valores baixos) para a libertar. O link leva a uma página que parece dos CTT e pede dados do cartão.

Os CTT verdadeiros não cobram taxas de envio por SMS para libertar encomendas, e quando há uma taxa alfandegária real, o pagamento é feito pelos canais formais (no site oficial dos CTT, ou em loja). Em dúvida, abre tu a app dos CTT, ou o site ctt.pt, e procura o número de seguimento. Se a encomenda existe a sério, vais vê-la lá. Se não a vires lá, era falsa.

"Autoridade Tributária: tem um reembolso pendente / divergência no IRS"

Sazonal, com pico entre março e julho. Mensagem (SMS ou email) diz que tens um reembolso para receber, ou uma divergência para regularizar, com link para um portal falso que pede credenciais ou dados bancários.

A Autoridade Tributária só envia emails de endereços que terminam em at.gov.pt, e nunca envia links a pedir para inserires ou confirmares dados pessoais ou fiscais. Para qualquer assunto fiscal real, entras tu no Portal das Finanças (portaldasfinancas.gov.pt) pelo teu lado.

MB Way: "envia-me de volta esses X euros"

Recebes uma transferência de MB Way que não estavas à espera (normalmente 100, 150 ou 200 euros) de um número desconhecido. Logo a seguir, vem uma mensagem de WhatsApp ou SMS: "desculpe, enganei-me na transferência, pode devolver-me?".

Parece honesto e parece um problema só dele. Mas o esquema funciona como camada de lavagem de dinheiro: o dinheiro que recebeste pode ter origem ilícita, e ao devolveres a partir da tua conta estás a transformá-lo em dinheiro "limpo" que segue o caminho. A Polícia Judiciária já deteve operadores deste esquema em Portugal.

A resposta certa: não devolvas pelo teu lado. Liga primeiro ao teu banco e expõe o caso. O banco sabe como tratar uma transferência indevida; tu não tens de ser intermediário.

MB Way: o "comprador" do OLX, Vinted ou Custo Justo

Estás a vender qualquer coisa online. Aparece um comprador muito interessado, com pressa, que quer pagar por MB Way. Diz-te que precisas de te registar no MB Way numa caixa Multibanco, e dita-te os passos por mensagem. O que ele te está, na verdade, a fazer é a associar o telemóvel dele à tua conta bancária. A partir desse momento, ele transfere o teu dinheiro para fora da tua conta.

Nenhum comprador real precisa de te ditar como configurar uma app no teu telemóvel ou na caixa Multibanco. Se um "comprador" começa a dar-te instruções, sai da conversa. Para receber via MB Way, basta-te associar o teu número na app do teu banco, sozinho.

"É do seu banco, a sua conta foi comprometida"

Vishing, ou seja, burla por chamada de voz. O número que aparece no telemóvel pode ser o número oficial do teu banco (é fácil de falsificar). A voz pode até ser uma voz familiar, clonada por inteligência artificial a partir de um vídeo público ou de uma chamada anterior. O atacante diz-te que a tua conta foi invadida e que tens de transferir o dinheiro para uma "conta segura", ou dar-lhe um código que acabaste de receber, ou autorizar uma operação no MB Way.

Memoriza esta linha: nenhum banco a sério te diz para transferires dinheiro para uma "conta segura". Essa frase é, ela própria, o sinal de que estás a ser burlado. Nenhum banco te pede o código completo, a palavra-passe completa, ou a confirmação do MB Way pelo telefone.

Em qualquer chamada estranha, desliga. Liga tu, pelo teu lado, para o número do banco que está atrás do teu cartão. Se a chamada era real, o banco vai saber dela.

"Pai, estou em sarilhos": a chamada com a voz de um familiar

Variante da mesma técnica, virada à família. Com poucos segundos de áudio (uma mensagem de voz reencaminhada, um vídeo nas redes sociais, uma peça escolar publicada online), um atacante consegue clonar a voz de alguém de quem gostas. A partir daí, há duas direções e ambas estão a acontecer em Portugal:

  • Recebes uma chamada com a voz do teu filho, em pânico, a dizer que teve um acidente, que foi detido, que precisa de dinheiro já. A voz é dele. O pedido não é.
  • O teu filho recebe uma chamada com a tua voz a pedir-lhe um código que acabou de chegar ao telemóvel, ou uma morada, ou para abrir a porta a alguém. A voz é tua. O pedido não é.

A defesa: combina com a tua família uma palavra-chave que só vocês sabem. Numa chamada de aflição, perguntas a palavra-chave. Sem palavra-chave, não se transfere nada e não se diz nada. Desliga, e liga tu de volta para o número que tens guardado dessa pessoa. O princípio por trás disto está em Phishing: como reconhecer; aqui basta o reflexo.

"SNS24 / centro de saúde: confirme o seu acesso"

Após qualquer notícia sobre dados de saúde, aparecem mensagens a fingir que são do SNS24 ou do centro de saúde, a pedir para "verificares" o teu acesso através de um link. Não cliques. O acesso real ao SNS24 é feito pelo site sns24.gov.pt ou pela app oficial, sempre por tua iniciativa, com Chave Móvel Digital ou Cartão de Cidadão.

A regra única que cobre tudo

Sempre que receberes uma mensagem ou chamada inesperada, que mete pressa, e que te pede dinheiro, um código, ou um clique: fecha o canal por onde veio e abre tu o canal oficial pelo teu lado. Se for real, vais conseguir confirmar. Se for burla, acabou ali.

  • A forma é sempre a mesma: autoridade aparente, pressa, ação. Reconhece a forma e o conteúdo deixa de importar.
  • O Estado não pede dados de cartão por SMS, e a AT só envia emails de endereços at.gov.pt.
  • Os CTT não cobram taxas de envio por SMS para libertar encomendas.
  • MB Way: nenhum comprador real te dita os passos no Multibanco, e nenhum banco te pede para devolveres uma transferência manualmente.
  • Nenhum banco te diz, ao telefone, para mover dinheiro para uma "conta segura". É sempre burla.
  • Chamada de um "familiar" em apuros: pede a palavra-chave familiar. Sem palavra-chave, desliga e liga tu de volta. A voz por si só já não chega para provar quem está do outro lado.
  • Em qualquer dúvida, fecha por onde veio, e abre o canal oficial pelo teu lado.