“Tem um pagamento em dívida.” – assim começa uma mensagem, alegadamente vinda do Ministério da Saúde. E, depois de apresentar o suposto valor em dívida, a mensagem avança uma frase perentória: “Tem 24 horas para efetuar o mesmo”.
Os exemplos multiplicam-se e a circulação de mensagens fraudulentas em nome do Ministério da Saúde, Serviço Nacional de Saúde (SNS) e SNS 24, nas últimas semanas, a solicitar indevidamente pagamentos, levou os Serviços Partilhados do Ministério da Saúde (SPMS) a emitir um alerta e a reforçar que os serviços do SNS e SNS 24 são gratuitos. Pela mesma altura, outros organismos públicos como a Segurança Social ou a Autoridade Tributária e Aduaneira divulgaram alertas semelhantes.
Estamos perante campanhas de smishing – um tipo phishing realizado com recurso a SMS (em inglês, Short Message Service) – através das quais os autores se fazem passar por uma entidade credível e na qual as pessoas confiam, para obter vantagens financeiras e/ou acesso à informação sensível. Mas, como é que isto acontece? Como é que recebemos mensagens falsas a partir de remetentes verdadeiros? O que devemos fazer, quando recebemos este tipo de SMS? Que estratégias podemos adotar para evitar o envio indevido de dinheiro, dados pessoais ou bancários? Qual o risco quando a fraude envolve serviços públicos? Falei com os nossos investigadores António Pinto e João Marco Silva, que desenvolvem trabalho nos domínios de Comunicações e de Ciência e Engenharia dos Computadores, para melhor avaliar este aumento significativo de SMS fraudulentas e quais os principais conselhos: ter cuidado, não fornecer dados, não clicar em links e não efetuar pagamentos.
30 anos de SMS em Portugal
Se pesquisarmos os acontecimentos que marcaram o ano de 1995, em Portugal, percebemos que foram 12 meses muito ricos. O país vai a votos e, no resultado das eleições legislativas, António Guterres, atual secretário-geral da Organização das Nações Unidas (ONU), torna-se primeiro-ministro do governo português. Em Foz Côa, a população une-se em defesa das gravuras rupestres no Vale do Côa e contra a construção de uma barragem – entoa “as gravuras não sabem nadar”, a obra não avança e a redação do jornal Expresso elege a luta pela preservação destas gravuras como o acontecimento nacional do ano. Em Aveiro, um grupo de seis estudantes cria o SAPO (Servidor de Apontadores Portugueses) – que era, na altura, o maior apontador e site de informação em língua portuguesa da Internet. Em Lisboa, no Mosteiro dos Jerónimos, é assinado o tratado de adesão de Portugal à Comunidade Económica Europeia e à Comunidade Europeia da Energia Atómica. Eu tinha cinco anos e chegava aos bancos da escola primária.
Muito mais haveria a relatar sobre 1995, mas existe, pelo menos, mais um acontecimento que não posso deixar de referir: o envio da primeira SMS, em Portugal, numa altura em que operavam no país apenas as operadoras TMN e Telecel, que hoje conhecemos como Meo e Vodafone, respetivamente.
Passados mais de 30 anos, o envio de SMS permanece uma realidade no nosso dia-a-dia, ainda que em decréscimo, muito graças ao surgimento e uso massificado dos serviços de instant messaging – assegurados por plataformas como o WhatsApp ou o Signal. Segundo dados da ANACOM, em 2024 foram enviadas cerca de 7,4 mil milhões de mensagens escritas, menos 14,5% do que em 2023 – uma tendência que se tem vindo a verificar desde 2012. Em todo o caso, continua a ser uma forma de comunicação muito usada, por exemplo, por serviços da Administração Pública, na relação com cidadãos e empresas, em diversas áreas, desde logo, na saúde. Desde há uns anos que é possível receber a prescrição de medicamentos e exames médicos por mensagem; quando contactamos o SNS 24, recebemos todas as indicações por mensagem; e, na altura da pandemia de Covid-19, as instruções para vacinação chegavam-nos, também, por SMS. Desde o início deste ano, quantas mensagens, por exemplo, já recebemos da Proteção Civil sobre as diversas tempestades que afetam o país e os respetivos cuidados a ter? É inegável a facilidade que as SMS trazem ao quotidiano, neste caso, no contacto rápido, direto e ágil com as populações, e na facilitação da relação com a Administração Pública.
Contudo, para além da disponibilização de informação útil e fidedigna, não tardaram a aparecer contactos fraudulentos. De início, parecia fácil perceber que estávamos perante uma informação falsa, mas, mais recentemente, o exercício de descortinar a veracidade da mensagem tornou-se complexo, sobretudo nos casos em que as SMS aparecem vindas de um remetente, cujo nome bem conhecemos. Vamos a alguns exemplos?
“Normalmente, entidades legítimas não pedem dados sensíveis ou enviam pedidos de pagamento por SMS”
No início de 2026, os Serviços Partilhados do Ministério da Saúde, a Autoridade Tributária e Aduaneira e a Segurança Social emitiram alertas sobre mensagens e sites fraudulentos. Ao longo das últimas semanas, têm circulado SMS com indicação de valores em dívida e com links para páginas falsas que usam, de forma indevida, a imagem destas organizações, induzindo os utilizadores em erro e incentivando a que partilhem informações pessoais e dados bancários. Mais, estas mensagens fraudulentas aparecem como tendo sido enviadas, por exemplo, pelo Ministério da Saúde e, no seguimento de outras que são verdadeiras, levando quem as recebe a crer que tem valores em dívida e a proceder conforme solicitado.
Como referi há pouco, em 1995, estava longe de saber enviar uma SMS, porque iniciava ainda o meu percurso escolar. Quando já adolescente tive o meu primeiro telemóvel e comecei a enviar mensagens, recordo-me que este envio tinha de ser gerido com parcimónia, porque o valor de cada SMS era elevado. Com o passar dos anos, creio que posso dizer que se democratizou o acesso a este serviço, com a oferta, pelas operadoras, de pacotes comerciais que nos permitem enviar mensagens sem grandes limites. Não me recordo se, há 20 anos, já se recebiam mensagens falsas, mas atualmente, quase que posso arriscar escrever que é uma prática diária e cada vez mais sofisticada.
Nos casos descritos acima, João Marco Silva, explica-nos que estamos perante campanhas fraudulentas, através das quais, quem ataca tenta fazer-se passar por uma entidade confiável com o objetivo de obter informação sensível ou vantagem financeira. “Tipicamente, esses ataques usam técnicas de engenharia social como mecanismos de persuasão ou convencimento. Nesse caso, o vetor de ataque é composto por campanhas de smishing, que tentam personificar entidades públicas com as quais uma parte significativa da população interage regularmente. Este último aspeto é fundamental para o sucesso dos ataques, uma vez que o número de potenciais vítimas é elevado”, refere.
Segundo o investigador, que é também docente na Universidade do Minho, nos casos já descritos, o risco pode tornar-se maior já que, diante de mensagens que supostamente foram enviadas por entidades públicas, os cidadãos podem reduzir o nível de vigilância – “isso tende a potencializar o sucesso das tentativas de burla”.
Mas, afinal, como é que quem comete estes ataques consegue que o nome do remetente seja o mesmo? Por outras palavras, como é que se enviam mensagens em nome de uma determinada entidade?
António Pinto avança: “o problema reside na forma como os operadores de telecomunicações fornecem os seus serviços, assentes em tecnologias que não foram projetadas para serem seguras. Essencialmente, as telecomunicações – chamadas telefónicas e SMS – são suportadas num protocolo de sinalização SS7 que não é seguro, mas que é necessário para garantir o seu funcionamento. Este permite que, por exemplo, possamos enviar, a partir de um outro país quando em roaming, uma SMS contendo como emissor o nosso número de telemóvel, mesmo se esse número não fizer parte da lista de clientes da rede estrangeira”.
De acordo com o investigador e docente na Escola Superior de Tecnologia e Gestão do Politécnico do Porto, esta capacidade de alterar a identificação do emissor é algo que pode ser comercializado ou visto como uma mais-valia comercial e dá um exemplo: “uma entidade como um banco, que quer fazer uma campanha de comunicação sem que das SMS conste o número real do emissor da SMS, mas sim o seu contacto ou nome”. Além disso, o serviço de envio de SMS em massa também pode ser subcontratado a uma empresa terceira. “E é aqui que surge o problema. Para suportar o interesse comercial, a rede abre a porta a utilizações abusivas. A rede não está dotada de capacidade para distinguir, por exemplo, uma SMS de um banco, com identificação alterada, de um enviado por um ator mal-intencionado”, reforça António Pinto.
Falamos de serviços ou gateways de SMS, que permitem definir manualmente o campo do remetente da mensagem. Esta é uma das técnicas mais comuns usada por quem comete estas fraudes, resultando em spoofing, isto é, quem está por detrás destes ataques faz-se passar, com sucesso, por outra pessoa ou entidade, falsificando dados para obter vantagens indevidas.
“Do lado do utilizador, os telemóveis normalmente agrupam mensagens pelo campo do remetente. Assim, se o atacante usar exatamente o mesmo identificador, como por exemplo Autoridade Tributária e Aduaneira, a mensagem fraudulenta acabará agrupada com outras mensagens legítimas enviadas pela entidade”, diz João Marco Silva.
E, nesses casos, haverá forma de identificar o ataque? O cuidado e a atenção parecem ser os elementos-chave, isto porque, para já, não dispomos de ferramentas ou de opções de configuração que nos permitam evitar receber estas mensagens e/ou chamadas telefónicas. Por isso, António Pinto sugere “adotar cautela e cuidado”, tendo em mente que podemos “estar na presença de um contacto com uma identificação forjada”, e acrescenta: “vejo aqui muitas semelhanças aos emails de SPAM, quer na forma como são feitos, quer nos cuidados a ter pelas pessoas. Já começam a surgir aplicações para smartphones que, com recurso a Inteligência Artificial, analisam as SMS e as chamadas recebidas para perceber se são fraudulentos. Esse poderá ser um caminho”.
Também João Marco Silva lembra que, “normalmente, entidades legítimas não pedem dados sensíveis ou enviam pedidos de pagamento por SMS. Mesmo que o façam – o que é uma má prática -, deverá ser possível confirmar o pedido através de um canal oficial, como por exemplo o Portal das Finanças”. Mesmo nestes casos, o investigador sugere que nunca se siga o link disponibilizado na SMS recebida. “A prática mais segura é abrir o browser e aceder ao portal oficial digitando a URL publicamente conhecida, que, neste caso seria, www.portaldasfinancas.gov.pt. O mais importante é não fornecer dados, clicar em links ou efetuar pagamentos, através da referência multibanco contido na SMS.
É possível evitar que estas SMS nos cheguem?
“Tecnicamente, as operadoras podem filtrar as mensagens, mas há dois desafios principais. O primeiro é a escala, uma vez que a inspeção de todas as mensagens requer uma grande capacidade computacional. A segunda, por razões de privacidade e enquadramento legal que podem impedir tal inspeção de todo o conteúdo da mensagem”, admite João Marco Silva. Também António Pinto considera que pode haver lugar à adoção de medidas técnicas e/ou tecnológicas por parte das operadoras e que o caminho poderá passar por haver legislação.
“Note-se que o mesmo se passa com outras tecnologias, nomeadamente o protocolo IP (Protocolo de Internet) que serve de base à Internet e que sofre do mesmo mal. Outro protocolo essencial para a Internet, o protocolo BGP (Border Gateway Protocol), também. Estes não foram projetados para serem seguros, mas sim para funcionarem e assumem confiança entre os envolvidos. Esta era uma abordagem considerada razoável há muitos anos, pois os operadores eram em número reduzido. Com a explosão da Internet e serviços associados, a confiança entre instituições, por si, não garante segurança”, reforça o investigador.
Por isso, por agora, e caso lhe chegue uma mensagem com um remetente que conhece, mas cujo conteúdo lhe pareça estranho, não envie dados, nem clique em links. Se, por engano, o fizer e partilhar, por exemplo, dados financeiros, o mais urgente é “contactar a sua instituição bancária para solicitar o bloqueio de novas operações. Em todas as situações, é importante informar a entidade alvo do spoofing e denunciar toda mensagem suspeita. Por exemplo, através do Sistema de Queixa Eletrónica (PSP/GNR), https://queixaselectronicas.mai.gov.pt”, remata João Marco Silva.
Texto escrito por Sofia Maciel, Responsável do Serviço de Comunicação do INESC TEC
Notícias, atualidade, curiosidades e muito mais sobre o INESC TEC e a sua comunidade!
