Saltar para o conteúdo
3HASH - Agência Digital Portugal
Ameaças cibernéticas às PMEs em Portugal 2026
Voltar ao BlogCibersegurança

Ameaças cibernéticas mais comuns às PMEs portuguesas em 2026

Equipa 3HASH 14 Maio 2026 11 min leitura

Em 2026, as PMEs portuguesas continuam a ser o alvo preferencial dos atacantes — porque combinam volume de transacções financeiras, infraestrutura modesta e baixa maturidade defensiva. O Centro Nacional de Cibersegurança (CNCS) confirma que o phishing e variantes representam mais de um terço dos incidentes reportados no país. Este artigo identifica as sete ameaças mais frequentes que vemos no terreno, com indicadores reais e o plano de resposta que recomendamos.

Se já suspeita que a sua conta ou o seu site foram comprometidos, vá directamente para o SOS Cibersegurança. Resposta em 60 minutos úteis.

1. Phishing e "fatura em aberto"

Continua a ser o vector número um. O atacante envia um email que imita um remetente legítimo — banco, contabilista, fornecedor de hosting, Autoridade Tributária — pedindo que clique num link para "ver a factura", "regularizar uma situação" ou "actualizar dados". O link conduz a uma página falsa que captura credenciais, ou a um ficheiro executável.

Em Portugal, a variante "fatura em aberto" dirigida a gabinetes de contabilidade tem crescido todos os trimestres. A Polícia Judiciária e o CNCS publicaram em 2025 múltiplos alertas com exemplos quase indistinguíveis dos emails reais.

Sinais a observar: sentido de urgência ("paga até hoje, senão"), domínio do remetente subtilmente alterado ([email protected]), links que mostram um URL no texto mas apontam para outro, anexos .exe / .html / .iso / .zip.

2. BEC — Business Email Compromise

O Business Email Compromise é uma evolução do phishing: o atacante impersona um quadro da empresa (CEO, CFO, sócio) e pede a um colaborador que transfira dinheiro com urgência, ou que altere o IBAN num pagamento a fornecedor. O remetente costuma ser um endereço externo com nome igual ao verdadeiro, ou — pior — uma conta comprometida da própria organização.

Vemos este padrão em PMEs portuguesas com 5 a 50 colaboradores. O valor médio do prejuízo, quando consumado, é de várias dezenas de milhares de euros. A escola usada pelos atacantes é cuidada: copiam assinaturas, citam clientes reais, escolhem dias de fim de mês ou véspera de feriado para reduzir verificação.

3. ScreenConnect / RMM abuse

A grande novidade dos últimos 18 meses. Em vez de distribuir malware custom — que os antivírus modernos detectam bem — os atacantes abusam de software legítimo de gestão remota (RMM), como ConnectWise ScreenConnect, AnyDesk ou TeamViewer.

O atacante envia um link aparentemente normal que descarrega o instalador oficial e assinado do RMM, configurado para se ligar à instância do atacante em modo Access (acesso permanente, silencioso, sem aceitação humana). Como o ficheiro é legítimo, o Microsoft Defender SmartScreen e a maioria dos antivírus não o sinalizam.

Exemplo real observado em 14 Maio 2026 num gabinete de contabilidade português:

https://amundarayapps.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe
  ?e=Access&y=Guest&c=F283&c=FACT&c=15&c=CLIENTES

Esta técnica está pública sob o nome "ScreenConnect abuse" ou "Malware-as-a-Service via RMM", e é atribuída a grupos como TA571 e Black Basta. Os alvos preferenciais são contabilistas e PMEs portuguesas e espanholas. Detalhamos o caso real, com plano de resposta, em SOS Cibersegurança.

4. Ransomware

O ransomware mantém-se na lista — agora com modelo de dupla extorsão: o atacante cifra os dados e publica uma amostra num leak site caso não pague. Os operadores mais activos contra PMEs portuguesas em 2025-2026 incluem Black Basta, LockBit (apesar do takedown parcial em 2024), Akira e Cactus.

Tipicamente, o ransomware é a fase final de uma cadeia: phishing → acesso inicial via RMM ou roubo de credenciais → semanas de reconhecimento → exfiltração de dados sensíveis → cifra. Quando o ecrã pede pagamento, o atacante já está dentro há semanas.

A prevenção real é backups testados, segmentação de rede, MFA em todos os acessos privilegiados, EDR moderno e logs centralizados. A maioria das PMEs que assistimos não tinha um destes em condições à data do incidente.

5. MFA fatigue (push bombing)

Mesmo com autenticação em dois passos activa, o atacante que tenha conseguido as credenciais pode bombardear o telemóvel da vítima com notificações de aprovação até ela carregar em "Aprovar" por engano ou para fazer parar o ruído. É a técnica que comprometeu várias empresas multinacionais entre 2022 e 2024 e que hoje aparece já em incidentes portugueses.

A mitigação é simples mas pouco aplicada: substituir notificações push simples por códigos por aplicação com correspondência numérica (number matching), ou por chaves físicas FIDO2. O Microsoft 365 e o Google Workspace suportam ambas há mais de dois anos.

6. Roubo de cookies de sessão

Infostealers como o RedLine, Vidar ou Lumma entram no computador (normalmente via download fraudulento de software pirateado, "crack" ou plugin) e extraem todos os cookies de sessão dos browsers. Com esses cookies o atacante pode entrar no Gmail, Microsoft 365, banca online, redes sociais empresariais — sem precisar de password nem 2FA, porque a sessão já está autenticada.

Estes logs são depois vendidos em mercados especializados, organizados por país e por domínio. É comum encontrar credenciais frescas de empresas portuguesas a circular por menos de 10 dólares.

A defesa: nunca instalar software pirata em equipamentos com acesso profissional, manter EDR actualizado e terminar sessão regularmente em contas críticas (não confiar só no "manter ligado").

7. Supply chain — fornecedor comprometido

Em 2026 a sua segurança vale pelo elo mais fraco da sua cadeia. Quando um contabilista, fornecedor de hosting, fornecedor de software ou empresa parceira é comprometido, o atacante usa essa relação de confiança para chegar até si — porque os emails são autênticos (passam DKIM, SPF e DMARC) e porque as credenciais partilhadas são reais.

Vimos recentemente um caso concreto: o gabinete de contabilidade de várias PMEs portuguesas teve a conta de email comprometida e enviou centenas de mensagens "factura em aberto" a clientes legítimos, com um link que conduzia ao ataque ScreenConnect descrito no ponto 3. A conta do contabilista é a conta real — não há spoof. O cliente confia, clica.

Defesa prática: não validar pagamentos ou execução de ficheiros apenas por email — confirmar sempre por canal alternativo (telefone, presença). Auditar fornecedores críticos. Exigir cláusulas contratuais de notificação em 24 horas.

O que fazer se for vítima

Os primeiros minutos contam mais do que os primeiros dias. Veja o procedimento detalhado em SOS Cibersegurança, mas em resumo:

  1. Não execute mais nada — não abra anexos, não responda à mensagem. Desligue da rede o equipamento se já correu algo.
  2. Mude a palavra-passe a partir de outro dispositivo — no painel do alojamento e na conta Google/Microsoft.
  3. Active 2FA com aplicação ou chave física, não por SMS.
  4. Reveja Enviados, regras de reencaminhamento e palavras-passe de aplicação — revogue tudo o que não reconheça.
  5. Avise contactos potencialmente atingidos por telefone, não por email.
  6. Reporte ao CERT.PT (cncs.gov.pt) e, se houver prejuízo financeiro, à Polícia Judiciária. Se a sua empresa estiver no âmbito NIS2, o prazo de notificação é de 24 horas.
  7. Contacte uma equipa de resposta — para limitar dano, preservar evidência e fazer auditoria DMARC/SPF/DKIM/cPanel.

Foi hackeado? Atendemos em 60 minutos.

Análise inicial gratuita. Equipa em Portugal. RGPD e alinhamento NIS2.

SOS Cibersegurança →

Perguntas frequentes

As PMEs portuguesas são realmente alvo, ou só as grandes empresas?

As PMEs são o alvo preferencial. Combinam volume de transacções financeiras com defesa modesta. Os atacantes industrializaram o ataque a esta camada e raramente escolhem vítimas grandes — preferem 100 PMEs com 10.000 € cada uma do que uma grande com 1.000.000 €.

Como sei se a minha conta de email já foi comprometida?

Sinais: contactos a reportar emails que não enviou, mensagens em Enviados que não reconhece, regras de reencaminhamento criadas sem o seu consentimento, login a partir de localizações estranhas, alertas de palavra-passe rejeitada. Veja SOS Cibersegurança para o procedimento completo.

Posso confiar num email do meu contabilista mesmo que pareça suspeito?

Mesmo quando DKIM, SPF e DMARC estão válidos, a conta do remetente pode estar comprometida. Para acções financeiras (pagamentos, alteração de IBAN, execução de ficheiros), confirme sempre por telefone antes de agir.

DMARC, SPF e DKIM resolvem o problema?

Não inteiramente. Resolvem o spoofing (impedem que terceiros falsifiquem o seu domínio), mas não impedem que uma conta legítima comprometida envie mensagens válidas. Servem para limitar dano e permitir relatórios — devem ser parte da defesa, não substituem-na.

Quanto custa proteger-se de forma realista?

Para uma PME típica portuguesa, uma postura defensiva razoável (EDR, MFA com number matching, backups testados, auditoria DNS de email, formação curta da equipa) custa tipicamente entre algumas centenas a alguns milhares de euros por ano. Muito abaixo do custo médio de um incidente consumado.

Leitura relacionada