"A sua encomenda está retida no centro de distribuição. Para a libertar, regularize a taxa aduaneira de 1,79 EUR neste link." A mensagem chega ao telemóvel num dia em que esperas mesmo uma entrega. O valor é ridiculamente baixo, o link tem a palavra "ctt" lá no meio, e por um segundo nem desconfias. É precisamente esse segundo que os burlões querem.

Há aqui um erro de leitura que faz toda a gente cair: olhas para o SMS e vês um pedido de 1,79 euros. Na prática, esse valor não interessa nada ao burlão -- ninguém monta uma operação para te tirar dois euros. A taxa minúscula é só o isco que te leva a introduzir os dados do cartão numa página falsa. É esse o verdadeiro alvo, e é por isso que "é só um euro, que mal faz" é o raciocínio exato que te custa a conta.

Por que é que esta burla funciona tão bem

O esquema vive de uma coincidência que deixou de ser coincidência: quase toda a gente tem uma encomenda a caminho a qualquer momento. Compras online, devoluções, presentes -- há sempre algo no correio. Quando o SMS chega, encaixa numa expectativa que já tinhas, e o cérebro preenche o resto.

A isto junta-se o valor pedido. Ninguém envia um SMS em pânico por 1,79 EUR. Pagar parece mais fácil do que perder a encomenda, e é isso que te faz baixar a guarda. Só que o objetivo nunca foi a taxa. O verdadeiro alvo são os dados do cartão que vais introduzir na página seguinte.

Como é o SMS falso por dentro

As mensagens fraudulentas imitam os CTT, mas também transportadoras como a CTT Expresso, os correios internacionais ou empresas de entregas privadas. O texto muda, o esquema é o mesmo. Há sinais que se repetem e que vale a pena reconhecer:

  • Pedem uma "taxa alfandegária", "taxa aduaneira" ou "custo de redistribuição" de poucos euros;
  • Criam urgência -- a encomenda "será devolvida" ou "destruída" se não pagares hoje;
  • O link não aponta para o site oficial; usa domínios estranhos com "ctt" colado a outras palavras ou terminações invulgares;
  • A página de pagamento pede dados a mais: número do cartão, validade, CVV e até o código que recebes do banco por SMS.

Se tivesse de escolher um único sinal entre todos, ficava com o último -- e é o que quase ninguém sublinha. Uma taxa real de um euro nunca precisa do teu código de autenticação do banco. Quando uma página de "pagamento de taxa" te pede o código que recebeste por SMS para confirmar, está a tentar autorizar outra coisa qualquer -- normalmente uma compra muito maior ou a ligação do teu cartão a uma carteira digital controlada pelo burlão. Os outros sinais podem faltar num SMS bem feito; este pedido denuncia-se sempre.

Como confirmar uma encomenda a sério

A forma segura de saber se tens mesmo algo retido nunca passa pelo link do SMS. Passa pelos canais que tu controlas. Se compraste algo, vai ao site ou à app da loja e consulta o estado da encomenda com o número que te deram na compra. Se a entrega é dos CTT, usa o site oficial dos CTT, escrito por ti no navegador, e segue o objeto pelo número de rastreio.

Encomendas vindas de fora da União Europeia podem, de facto, ter custos aduaneiros -- mas esses são comunicados pelos canais oficiais e pagos em plataformas oficiais, não através de um link encurtado num SMS apressado. Na dúvida, contacta os CTT pelos contactos publicados no site deles. Demora mais um minuto e poupa-te o resto.

Esta lógica de desconfiar do link e confirmar pelo canal oficial aplica-se a quase todos os SMS fraudulentos. Se queres perceber o mecanismo em geral, escrevi um guia dedicado ao smishing e aos SMS falsos.

Já cliquei e meti os dados. E agora?

Se foste até ao fim e introduziste o número do cartão, trata isto como uma emergência e não como um descuido a esquecer. A velocidade da tua reação é o que decide o tamanho do prejuízo.

  1. Liga ao banco pelo número do verso do cartão e pede o bloqueio imediato;
  2. Verifica os movimentos recentes e contesta qualquer um que não reconheças;
  3. Se introduziste o código de autenticação, avisa o banco de que pode ter sido usado para autorizar uma operação;
  4. Guarda o SMS e capturas de ecrã da página falsa como prova.

O mesmo cuidado vale para quem compra e vende em plataformas, onde estas mensagens também aparecem disfarçadas de "confirmação de entrega". Se costumas usar pagamentos rápidos nessas trocas, o guia sobre a burla do MB WAY entre compradores e vendedores mostra como o mesmo truque do código é aplicado noutro contexto. E se já partilhaste dados sensíveis, segue o passo a passo de o que fazer depois de dar dados a um burlão.

Onde denunciar

Reportar a burla ajuda a fechar os sites falsos mais depressa e a alertar quem ainda não recebeu o SMS. Podes apresentar queixa junto da Polícia Judiciária e denunciar o caso ao Gabinete de Cibercrime do Ministério Público. Para questões de prevenção e para te manteres a par destas campanhas, o Centro Nacional de Cibersegurança publica alertas regulares sobre as ondas de smishing que circulam em Portugal.

Perguntas frequentes

O SMS apareceu na mesma conversa dos SMS verdadeiros dos CTT. Não é prova de que é real? Não. O nome do remetente que aparece no SMS pode ser falsificado, o que faz a mensagem cair na mesma conversa das legítimas. Avalia sempre o conteúdo e o link, nunca o nome do remetente.

O valor é só um euro. Que mal pode fazer pagar? O dano não é o euro. Ao introduzires os dados do cartão numa página falsa, entregas tudo o que o burlão precisa para tentar cobranças muito maiores ou ligar o teu cartão a outra conta. A taxa baixa é o isco, não o objetivo.

Cliquei no link mas não cheguei a preencher nada. Estou em risco? O risco principal está em introduzir dados. Só abrir a página costuma ser inofensivo, mas por precaução não introduzas nada, fecha o separador e não voltes a abrir o link. Se o link te pediu para instalar uma aplicação, não a instales.

Como sei qual é o site verdadeiro dos CTT? Escreve tu mesmo o endereço oficial no navegador ou usa a app oficial instalada a partir da loja de aplicações. Nunca chegues ao site através de um link recebido por SMS, e-mail ou mensagem.

Em resumo

O SMS da encomenda parada não te quer roubar 1,79 euros -- quer os dados do teu cartão, e a taxa ridícula é só a porta de entrada. O sinal que nunca falha é o pedido do código de autenticação do banco numa página de "taxa": nenhuma cobrança real precisa dele. Confirma sempre a encomenda pelo site ou app oficiais, escritos por ti, e nunca pelo link do SMS.