Smishing (Phishing por SMS)

O smishing é uma forma de fraude por mensagem de texto que os cibercriminosos utilizam para atrair vítimas a revelar dados sensíveis, enviar dinheiro ou instalar malware em um smartphone ou dispositivo. A palavra "smishing" é uma combinação das frases "serviço de mensagens curtas (SMS)" e "phishing". O SMS é a tecnologia que permite o envio e receção de mensagens de texto, enquanto phishing é um ataque de engenharia social onde os cibercriminosos tentam enganar indivíduos para que revelem dados sensíveis — como senhas ou números de cartões de crédito — disfarçando-se como uma organização ou pessoa confiável.

• O smishing é uma forma de phishing que utiliza mensagens de texto para enganar as vítimas a revelarem informações sensíveis, a enviar dinheiro ou a instalar malware nos seus dispositivos.
• Os cibercriminosos muitas vezes fazem-se passar por entidades de confiança, como bancos, serviços de entrega ou agências governamentais, para criar uma sensação de urgência e enganar os destinatários, levando-os a agir de imediato.
• A proteção contra ataques de smishing inclui estar atento a mensagens não solicitadas, ativar a autenticação de dois fatores, usar ferramentas de filtragem de SMS e educar-se sobre as últimas técnicas de smishing.

Tal como o phishing tradicional, o smishing opera com base no princípio da fraude. Os cibercriminosos criam mensagens de texto que parecem vir de entidades de confiança, como bancos, serviços de entrega ou agências governamentais. Estas mensagens geralmente contêm um sentido de urgência, alertando para um problema com uma conta, uma entrega falhada ou até mesmo uma questão legal.

O objetivo do cibercriminoso é desencadear uma resposta imediata. A mensagem geralmente inclui um link, instando o destinatário a clicar e resolver o suposto problema. No entanto, este link leva a um site fraudulento projetado para imitar um legítimo. Uma vez neste site falso, as vítimas são solicitadas a inserir informações sensíveis, como credenciais de login, detalhes de cartão de crédito ou números de Segurança Social.

Os cibercriminosos também utilizam mensagens de texto smishing para disseminar malware ou spyware. Podem incluir um link que faz o download de software malicioso para o seu dispositivo ou anexar um ficheiro que instala malware. Uma vez que o malware está no seu telemóvel, pode roubar dados sensíveis, monitorizar a sua atividade ou até mesmo tomar controlo do seu dispositivo.

Um exemplo real de smishing

Considere este cenário: É a época festiva e está ansiosamente à espera de um pacote do seu retalhista online favorito. De repente, recebe uma mensagem de texto. Parece ser do retalhista, avisando que há um problema com as suas informações de faturação e que a sua encomenda está em suspenso. A mensagem incita-o a clicar num link para atualizar os seus dados imediatamente ou corre o risco do seu presente não chegar a tempo.

O truque? Esta não é uma mensagem genuína do retalhista. É uma tentativa de smishing cuidadosamente elaborada. O link leva a um site convincente, mas falso, que rouba as informações do seu cartão de crédito. Assim que introduzir os seus dados, os burlões terão o que precisam para cometer roubo de identidade, fazer compras fraudulentas ou esvaziar a sua conta bancária.

Etapas comuns de um ataque de smishing

Aqui estão sete passos que os cibercriminosos podem usar para atacar vítimas com um ataque de smishing:

1. Escolher destinatários: Os atacantes identificam destinatários lançando uma rede ampla utilizando números de telefone obtidos a partir de violações de dados ou alvejando indivíduos específicos com base em conhecimento prévio.
2. Criar mensagens: Muitas vezes aproveitando emoções como urgência, medo ou curiosidade para provocar uma resposta rápida, os atacantes criam mensagens de texto persuasivas. Estas mensagens geralmente incluem uma chamada à ação, como clicar num link ou ligar para um número.
3. Enviar mensagens: Usando gateways de SMS, ferramentas de spoofing ou dispositivos comprometidos, os atacantes enviam mensagens de smishing para destinatários selecionados. Essas mensagens podem aparentar ser de fontes confiáveis, aumentando a sua natureza enganosa.
4. Interagir com a vítima: A mensagem incentiva o destinatário a interagir ao recebê-la. Isso pode envolver clicar num link malicioso, responder com informações pessoais ou ligar para um número de telefone fornecido.
5. Recolher dados: Se um destinatário cair na armadilha, pode ser redirecionado para um site fraudulento onde, sem saber, introduz dados sensíveis ou descarrega malware no seu dispositivo. Por vezes, a própria interação, como ligar para um número de tarifa premium, pode resultar em perda financeira.
6. Explorar informação roubada: O atacante utiliza a informação roubada para roubo de identidade, transações não autorizadas ou venda na dark web.
7. Cobrir rastros: Os atacantes mudam frequentemente as suas táticas, como usar números de telefone diferentes ou empregar várias técnicas para mascarar a sua identidade e localização.

Para aprofundar a sua compreensão dos ataques de smishing, vejamos mais exemplos do mundo real que pode encontrar.

Fazer-se passar por uma instituição financeira

Os atacantes podem enviar mensagens de texto fingindo ser do seu banco, alertando-o para atividades suspeitas ou problemas na conta. Estas mensagens geralmente incluem um link para um site falso projetado para capturar as suas credenciais de acesso ou dados financeiros.

Fazer-se passar por apoio ao cliente

Mensagens de smishing também podem imitar o suporte ao cliente de empresas de tecnologia ou de retalho. Alegam que há um problema com a sua conta e instam-no a clicar num link ou a ligar para uma linha de suporte fraudulenta para fornecer informações sensíveis.

Fazer-se passar por agências governamentais ou funcionários

Os cibercriminosos podem fazer-se passar por agências governamentais como o IRS, ameaçando com ações legais ou multas, a menos que clique num link ou ligue para um número fornecido. Isto pode levar ao roubo de dados pessoais ou a fraudes financeiras.

Fazer-se passar por empresas de correio e envio

Mensagens de smishing podem alegar que há um problema com a entrega de uma encomenda e pedir-lhe para clicar num link para o resolver. Esses links muitas vezes levam a sites falsos de empresas de transporte projetados para roubar o seu endereço, dados de pagamento ou até mesmo instalar malware no seu dispositivo.

Impersonar líderes da empresa

Os atacantes podem fazer-se passar por executivos da empresa, solicitando transações financeiras urgentes ou informações confidenciais. Estas mensagens exploram a confiança e a hierarquia dentro das organizações, podendo levar a perdas financeiras ou violações de dados.

Fingir enviar uma mensagem para o número errado

Esta tática envolve enviar uma mensagem que parece ter sido enviada acidentalmente para a pessoa errada. Os burlões depois usam a conversa subsequente para criar confiança e, eventualmente, tentar extrair dinheiro ou informações pessoais.

Oferecer um download de app

Mensagens de smishing podem atraí-lo a descarregar uma aplicação aparentemente útil, muitas vezes disfarçada como uma marca de confiança. Estas aplicações são geralmente maliciosas, concebidas para roubar dados ou instalar mais malware no seu dispositivo.

Phishing, smishing e vishing são todas táticas de engenharia social que os cibercriminosos utilizam para roubar informações pessoais, mas diferem nos seus métodos de entrega.

• Phishing utiliza emails enganosos para induzir os destinatários a clicarem em links maliciosos ou a descarregarem anexos perigosos. Estes emails frequentemente parecem ser de fontes legítimas, como bancos, plataformas de redes sociais ou retalhistas online.
• Smishing usa mensagens de texto ou aplicações de mensagens para enganar as vítimas em vez de emails. Estas mensagens normalmente contêm pedidos urgentes de informação ou links para sites falsos concebidos para capturar dados pessoais.
• Vishing utiliza chamadas de voz ou mensagens de voz para enganar indivíduos a revelar informações sensíveis. Os atacantes podem fazer-se passar por representantes bancários, funcionários do governo ou pessoal de suporte técnico para ganhar a confiança da vítima e extrair informações diretamente por telefone.

Proteger-se contra ataques de smishing começa com a compreensão dos fundamentos da proteção contra phishing. Aqui estão algumas formas comuns de se proteger contra ataques de engenharia social, como phishing, smishing e vishing:

Indivíduos

• Ativar a autenticação multifator (MFA): Esta medida de segurança requer que os utilizadores forneçam duas formas de identificação antes de aceder a uma conta, como uma palavra-passe e um código temporário enviado para um telemóvel ou email. Reduz significativamente o risco de acesso não autorizado, mesmo que uma palavra-passe seja comprometida.
• Tenha cuidado com mensagens não solicitadas: Trate mensagens inesperadas com ceticismo, especialmente aquelas que alegam urgência ou oferecem recompensas. Verifique a autenticidade de qualquer mensagem contactando a organização diretamente através de canais oficiais.
• Eduque-se a si e aos outros: Mantenha-se informado sobre as mais recentes técnicas de smishing e partilhe este conhecimento com a família, amigos e colegas de trabalho. A consciência é uma ferramenta poderosa para reconhecer e evitar fraudes.
• Ignorar mensagens suspeitas: Não clique em links nem responda a mensagens de texto de fontes desconhecidas ou suspeitas. As organizações legítimas geralmente não solicitam informações sensíveis via SMS.

Empresas

• Utilizar ferramentas de filtragem de SMS: Muitos smartphones têm funcionalidades integradas ou aplicações que conseguem filtrar ou sinalizar mensagens potencialmente de spam e phishing. Estas ferramentas ajudam a reduzir a exposição a textos maliciosos.
• Instalar ferramentas anti-phishing: O software de segurança pode detetar e bloquear tentativas de phishing, proporcionando proteção adicional contra ataques de smishing. Atualize regularmente estas ferramentas para garantir que reconhecem as ameaças mais recentes.
• Verificar a identidade do remetente: Se uma mensagem solicitar informações pessoais, verifique a identidade do remetente, contactando diretamente a organização através das informações de contacto do seu website oficial, e não da própria mensagem.
• Denunciar tentativas de smishing: Denunciar mensagens suspeitas à sua operadora móvel ou às autoridades relevantes pode ajudá-las a rastrear e combater campanhas de smishing, protegendo outros de ataques semelhantes.
• Formação regular em segurança: A realização de sessões de formação e simulações regulares em segurança pode ajudar indivíduos e organizações a reconhecerem e responderem melhor a tentativas de smishing, reduzindo a probabilidade de se tornarem vítimas.
• Manter o software atualizado: As atualizações regulares do sistema operativo móvel e das aplicações de segurança garantem que possui as proteções mais recentes contra vulnerabilidades e ameaças conhecidas, reduzindo o risco de exploração.

Lembre-se, a chave para se proteger contra smishing é a vigilância e uma dose saudável de ceticismo. Se algo parecer bom demais para ser verdade ou parecer estranho, confie nos seus instintos e tire tempo para verificar a mensagem antes de tomar qualquer ação.