Ataques de SMS phishing visam investidores em criptomoedas: como não perder o seu dinheiro

Em 2025, o smishing (SMS-phishing) tornou-se uma das principais ameaças para os detentores de criptoativos. Os burlões enviam em massa mensagens falsas em nome de exchanges e carteiras, e tudo funciona. Eis porque isto é perigoso e como se pode proteger.

O que está realmente a acontecer

O burlão envia um SMS supostamente da sua exchange: “Foi detetada atividade suspeita. Confirme a identidade agora: [link]”. Parece urgente, não é? A vítima clica, introduz os dados no site falso — e o saldo desaparece.

Segundo relatórios, o smishing resulta em cerca de 30% dos casos. Isto porque:

1. Criam pânico — a ameaça de bloqueio da conta ou perda de fundos faz as pessoas agirem sem pensar.

2. Falsificam a origem — a mensagem parece oficial, o número é semelhante ao verdadeiro.

3. Prometem recompensa — BTC grátis, cartão-presente em $500 — apela à ganância.

Esquemas típicos

Esquema 1: “É necessário atualizar os dados KYC, caso contrário a conta será bloqueada”. A pessoa envia o scan do passaporte ao burlão, e os seus dados são vendidos ou usados para roubo de identidade.

Esquema 2: “Ligue para o apoio” — o número na mensagem é falso, o burlão obtém códigos 2FA ou palavras-passe.

Esquema 3: O link malicioso instala spyware no telemóvel, que depois lê todos os SMS e palavras-passe.

Em que o smishing difere de outros ataques

• Phishing — via email (menos urgente, mais fácil de verificar)
• Vishing — chamada de voz (requer habilidade do burlão)
• Pharming — alteração de DNS, redirecionamento para site falso (mais técnico)

O smishing continua a ser o mais eficaz, porque os SMS são lidos rapidamente, sem verificações.

Sinais de alerta nos SMS

✋ Nunca abra links se:

• A mensagem exige fazer algo com urgência
• Pede para introduzir palavra-passe, seed phrase, chave privada
• Contém erros ortográficos ou estilo estranho (mesmo as boas exchanges por vezes são formais, mas não escrevem mal)
• Vem de um número desconhecido
• Promete uma recompensa que não ganhou

Como se proteger

1. Não clique em links em SMS

• Se tiver dúvidas, abra o browser e escreva o endereço da exchange manualmente
• Verifique qual é o endereço real (passe o cursor sobre o link, se o SMS for numa app de mensagens)

2. Ative a autenticação multifator

• Use apps como Google Authenticator ou Authy, e não 2FA por SMS
• 2FA por SMS ainda é melhor do que nada, mas é o mais fácil de intercetar
• Melhor opção — chaves físicas (Ledger, Trezor) ou passkeys

3. Nunca partilhe informação confidencial

• Exchanges/carteiras nunca pedem palavra-passe ou chave privada
• Mesmo que seja supostamente o apoio ao cliente, peça um número de retorno e ligue você mesmo

4. Use carteiras físicas

• Guarde grandes quantias offline (Ledger, Trezor, Coldcard)
• Num dispositivo físico, o burlão não consegue roubar nada

5. Vigie a atividade

• Verifique regularmente o histórico de acessos na exchange
• Se notar tentativas suspeitas de acesso — mude a palavra-passe imediatamente

6. Atualize os seus conhecimentos

• Os burlões estão sempre a inventar novos esquemas
• Siga as notícias em fontes fidedignas

O que fazer se já foi enganado

1. Bloqueie imediatamente o número do burlão
2. Altere as palavras-passe de todas as contas (caso tenha introduzido dados)
3. Ative 2FA em todos os serviços (se ainda não o fez)
4. Desative as chaves API na exchange, se estiverem comprometidas
5. Contacte a exchange através do canal oficial de suporte
6. Congele o crédito (se forneceu passaporte ou outros dados)
7. Monitore as operações durante um mês — verifique bancos, carteiras cripto, redes sociais

Ideia principal

No mundo cripto, você é o seu próprio banco. Ninguém protege os seus fundos por si. Os burlões contam com a pressa e o pânico. Se um SMS exigir ações urgentes — é quase sempre fraude. Confirme através do site/app oficial, e tudo ficará claro.