A Guarda Nacional Republicana (GNR) registou, apenas nos primeiros três meses de 2026, cerca de 300 burlas por "Falso Funcionário" e mais de 670 burlas informáticas com obtenção ilegítima de dados. Estes números revelam uma profissionalização crescente dos grupos criminosos, que recorrem agora à técnica de spoofing e a mecanismos de manipulação psicológica para induzir as vítimas em erro. Só no primeiro trimestre, 86% das tentativas de burla que simularam Agentes de Autoridade foram efetivamente consumadas.
No âmbito da sua missão de proteção de pessoas e bens, a Guarda tem acompanhado com preocupação a evolução das burlas informáticas e nas comunicações. A crescente digitalização trouxe benefícios inegáveis, mas permitiu também o surgimento de criminosos altamente especializados que exploram a Engenharia Social — a arte de manipular psicologicamente o ser humano para que este comprometa a sua própria segurança.
Ao contrário dos ataques informáticos tradicionais que visam falhas de software, a engenharia social foca-se na vulnerabilidade do utilizador. Os burlões utilizam narrativas estruturadas para induzir erros de segurança, recorrendo fundamentalmente a seis fatores de motivação:
Urgência: Criação de cenários de pressão extrema (ex: "a sua conta será bloqueada em 30 minutos"), levando a vítima a agir sem reflexão;
Escassez: Promoção de oportunidades supostamente únicas e limitadas no tempo, que inibem a verificação da autenticidade da oferta;
Falsos testemunhos: Utilização de perfis falsos em redes sociais ou a apropriação de contactos de conhecidos para partilhar links maliciosos, aumentando a confiança da vítima;
Simpatia e interesse comum: Tentativa de estabelecer uma ligação emocional ou amigável para baixar as defesas da vítima e facilitar a extração de dados;
Intimidação: Recurso a ameaças de processos judiciais, multas pesadas ou perda definitiva de dados para coagir a vítima a cumprir instruções;
Autoridade: Esta é uma das técnicas mais eficazes, onde o burlão usurpa a identidade de figuras de autoridade (Polícia, Inspetores, Bancários) para que as ordens sejam cumpridas sem questionamento.
A técnica de autoridade está frequentemente aliada ao spoofing. Este conceito define-se pela falsificação da origem de uma comunicação para simular uma fonte legítima e confiável. Através da manipulação técnica, o burlão, por exemplo, faz com que no visor do telemóvel da vítima apareça um nome ou número que aparenta ser de uma instituição oficial, sendo as principais tipologias:
Caller ID / SMS Spoofing: Manipulação do identificador de chamadas ou remetente de mensagens curtas.
Email Spoofing: Falsificação do endereço de e-mail para que este pareça provir de um domínio oficial (ex: bancos ou serviços públicos).
IP Spoofing: Técnica mais complexa que falsifica o endereço IP de um computador para contornar sistemas de segurança.
Importa referir que, num mesmo “ataque” a vítima pode ser alvo de spoofing e phishing, não obstante estamos a falar de conceitos distintos:
(1) Phishing – Técnica que recorre ao engano/manipulação para induzir o destinatário a realizar alguma ação que o autor deseja, como clicar em um link ou abrir um anexo malicioso. Subentenda-se como ataque propriamente dito.
(2) Spoofing – Técnica/meio de tornar os ataques (como o phishing) mais credíveis ou eficazes. Subentenda-se como o meio para obter o fim desejado.
Importa referir crime de spoofing é habitualmente classificado/tipificado para efeitos de contabilização na forma dos crimes de “Burla por falso funcionário” ou “Burla Informática/Comunicações por obtenção ilegítima de dados do utilizador”, uma vez que a técnica de falsificação da identidade serve o propósito último de induzir a vítima em erro para a obtenção de dados pessoais, credenciais bancárias, palavras-passe e ou pagamentos.
Os dados da GNR revelam a persistência deste fenómeno, com especial incidência na obtenção ilegítima de dados bancários.
