GNR registou centenas de “burlas por falso funcionário”. Saiba o que é e como se proteger!

Só nos primeiros três meses do ano, a Guarda Nacional Republicana (GNR) registou quase mil situações de burla, entre esquemas presenciais e ataques digitais. Os números mostram uma tendência preocupante em que os criminosos estão cada vez mais especializados e as vítimas continuam a cair nas armadilhas.

A GNR registou, no primeiro trimestre de 2026, cerca de 300 burlas em que os autores se fizeram passar por funcionários de entidades públicas ou agentes da autoridade, e mais de 670 burlas informáticas com obtenção ilícita de dados. No total, foram detidas duas pessoas.

Os números, divulgados pela GNR em comunicado, chegam acompanhados de um alerta sério: os burlões estão a tornar-se progressivamente mais sofisticados, recorrendo a técnicas de manipulação psicológica e a ferramentas tecnológicas que tornam os ataques cada vez mais difíceis de identificar.

Bancos, polícia, saúde e Segurança Social: nenhuma entidade está imune

Nas chamadas "burlas por falso funcionário", os esquemas mais frequentes envolvem a personificação de trabalhadores bancários, registados em 44 situações, com uma taxa de sucesso de 75%, e de agentes das forças de segurança, como GNR, Polícia de Segurança Pública (PSP) e Polícia Judiciária (PJ), em 36 casos e com uma alarmante taxa de sucesso de 86%.

Foram ainda registados 16 casos de burlões a fazerem-se passar por funcionários de serviços de energia e 20 casos em que os criminosos simularam ser representantes de serviços de saúde ou da Segurança Social.

A abrangência dos alvos imitados mostra que nenhuma instituição está imune, exigindo muita cautela por parte das potenciais vítimas.

Spoofing: quando o número que aparece no telemóvel não é o que parece

Uma das técnicas centrais nestes esquemas é o chamado spoofing, que consiste em falsificar a origem de uma comunicação para que esta pareça estar a ser feita por uma entidade legítima.

Na prática, pode aparecer no ecrã do telemóvel o nome de um banco, de um serviço público ou até de uma esquadra de polícia, mesmo que a chamada venha de um criminoso.

Esta técnica pode assumir várias formas: manipulação do identificador de chamadas ou de remetente de SMS, falsificação de endereços de e-mail para simular domínios oficiais, ou adulteração de identificadores de dispositivos para contornar sistemas de segurança.

Importa distinguir spoofing de phishing:

• O primeiro serve para tornar os ataques credíveis;
• O segundo é a técnica que manipula a vítima para que execute uma ação, nomeadamente clicar num link malicioso, abrir um anexo com vírus ou partilhar dados pessoais.

Burlões recorrem à engenharia social

Ao contrário dos ataques informáticos tradicionais, que exploram falhas técnicas em software, a engenharia social foca-se nas fragilidades humanas.

Os burlões constroem narrativas elaboradas e recorrem a seis fatores de motivação principais: urgência, escassez (com oportunidades apresentadas como limitadas no tempo), falsos testemunhos, simpatia e interesse comum, intimidação e o fator autoridade.

A GNR reconhece que a crescente digitalização trouxe benefícios inegáveis, mas abriu também espaço ao surgimento de criminosos altamente especializados que sabem explorar esses gatilhos psicológicos com precisão.

O comunicado fala mesmo numa "profissionalização crescente" deste tipo de criminalidade, conforme citado pela agência Lusa.

A corroborá-lo estão os dados:

• Em 2025, a GNR registou 1092 casos de burla por falso funcionário, face a 974 em 2024, uma subida de cerca de 12%.
• Nas burlas informáticas com obtenção ilegítima de dados, foram registados 2528 casos em 2025, ligeiramente abaixo dos 2652 de 2024. Ainda assim, os valores mantêm-se elevados.

Como se pode proteger?

Perante estes dados, a GNR reforçou as recomendações e os avisos:

• Nenhuma entidade oficial ou bancária pede, por telefone ou SMS, códigos de segurança, palavras-passe ou transferências imediatas;
• Sempre que um contacto tiver um tom urgente ou ameaçador, o sinal de alerta deve ser imediato;
• Nunca clicar em links recebidos por SMS ou e-mail de remetentes desconhecidos;
• Não devolver chamadas para números suspeitos;
• Bloquear e apagar mensagens ou chamadas que levantem dúvidas;
• Confirmar a autenticidade de qualquer contacto, junto da própria instituição, através de canais oficiais, é sempre o caminho mais seguro antes de partilhar qualquer dado pessoal ou bancário.