O Ministério Público (MP) emitiu esta segunda-feira um alerta sobre a acção de grupos criminosos que se estão a fazer passar por agentes de vários bancos e que, através de técnicas diversas, pretendem aceder às contas para se apropriarem de valores avultados. “Estão em curso campanhas levadas a cabo por diferentes grupos criminosos pelas quais, por meio de técnicas combinadas de phishing e de engenharia social, os agentes criminosos procuram obter de forma ilícita dados de acesso a contas bancárias, para depois acederem às mesmas e, a partir delas, transferirem valores para outras contas, por eles controladas”, refere a entidade em comunicado.O MP destaca que “não se trata de meras campanhas de phishing com o propósito da obtenção de dados bancários, mas antes de uma iniciativa criminosa muito mais complexa, que provoca de imediato prejuízos patrimoniais muito avultados às vítimas”.Como sempre ocorre nos casos de phishing (designação derivada da palavra inglesa fishing – pesca), os criminosos começam a sua acção com a expedição, para muitíssimos destinatários, de forma indiscriminada, de mensagens electrónicas fraudulentas, sendo, no caso das campanhas criminosas em curso, identificados casos de mensagens telefónicas (SMS), mas também de mensagens de correio electrónico (email).Aquelas mensagens são enviadas como sendo provenientes de instituições bancárias, alertando o destinatário para uma recente transferência ou outro pagamento bancário que terá sido efectuado a partir da sua conta. “Cria-se, portanto, a ideia de que poderá ter havido um acesso ilegítimo à conta”, e as mensagens oferecem uma solução, que passa pelo acesso a um link, a que o destinatário deve aceder "imediatamente" para a travar, incutindo-se, assim, "a urgência e acção irreflectida da vítima”.Se a vítima acabar por entrar no link contido na mensagem que recebeu vai acabar por aceder a uma página fraudulenta, que imita a página oficial da sua instituição bancária, mas não corresponde à autêntica página web daquela entidade, explica o MP no comunicado. Depois de entrar nessa página, “é solicitado à vítima que introduza diversos dados pessoais e, designadamente, os dados de identificação e de acesso à sua conta bancária”. E é ainda solicitado o seu número de telefone, um elemento crucial neste processo, já que vai permitir aos agentes criminosos concretizar a burla.Depois de obtidos os dados de acesso, “os agentes criminosos conseguem efectivamente aceder à conta bancária da vítima, verificar os respectivos movimentos e ficar a saber qual é o montante em saldo”. No entanto, "apenas com esses dados não é possível aos agentes criminosos proceder a movimentos ou a transferências para outras contas, porque a generalidade dos bancos portugueses adoptou já um procedimento a que se tem chamado segundo factor de autenticação”, lê-se no comunicado.É aqui que entra o telefone da vítima, com o agentes criminosos a procederem a chamadas telefónicas às vítimas, identificando-se como sendo funcionários da área da cibersegurança da instituição bancária. “Durante a conversação, para dar credibilidade à sua abordagem, demonstram conhecer detalhes sobre a vítima e a sua conta (os quais obtiveram no acesso que fizeram à conta). Depois, informam a vítima de que foi identificado um movimento suspeito, de grande valor, a partir da conta bancária em causa”, perguntando-lhe se foi ela própria que deu a respectiva ordem, descreve o MP.Como se trata de um movimento “inventado” pelo agente criminoso, a vítima vai negar ter sido da sua responsabilidade, e é então que o “agente criminoso se oferece para reverter tal movimento, desde que a vítima o confirme”, o que normalmente é feito por um código recebido por SMS (passado aos burlões) ou uma confirmação numa aplicação telefónica.Conseguida esta confirmação (o segundo factor de autenticação), os criminosos concretizam transferências fraudulentas (os alegados movimentos anteriores não passaram de uma encenação), que passam rapidamente por várias contas, o que os torna, na maioria dos casos, impossíveis de reverter.O MP lembra que “mensagens como as que acima se descreveram devem ser ignoradas e apagadas, sem resposta. Chamadas telefónicas desta natureza devem também ser ignoradas”. E “caso a vítima acabe por facultar aos agentes criminosos dados pessoais ou da sua conta bancária, importará, como primeira diligência a empreender, contactar o banco por via dos canais institucionais habituais”.Em 2025, foram registados 61.798 incidentes de cibersegurança, o que significa um crescimento de 30 vezes face aos 2025 contabilizados em 2023. Mesmo se compararmos 2025 com o ano anterior (11.163 incidentes), a subida é de quase 500%