O que é smishing e como se proteger?

Com uma crescente base de mais de 3,5 bilhões de usuários de smartphones globalmente, vemos também um aumento exponencial nos ataques cibernéticos, com destaque para a ameaça cada vez mais prevalente do "smishing".

Se você está se perguntando o que exatamente é o smishing, como ele opera e, o mais importante, como se proteger contra essa forma de ameaça online, este guia completo será a sua fonte essencial de informações.

Continue a leitura para uma análise aprofundada do smishing e estratégias eficazes para garantir a segurança dos seus dispositivos e informações pessoais.

O que é smishing?

Smishing é um ataque de cibersegurança de phishing realizado por mensagens de texto móveis, também conhecido como phishing por SMS. Como uma variante de phishing, as vítimas são enganadas a fornecer informações sensíveis a um atacante disfarçado.

O phishing por SMS pode ser auxiliado por malware ou sites fraudulentos. Isso ocorre em muitas plataformas de mensagens de texto móveis, incluindo canais não SMS como aplicativos de mensagens móveis baseados em dados.

Como a definição de smishing sugere, o termo combina "SMS" (serviços de mensagens curtas, mais conhecido como mensagens de texto) e "phishing". Para definir melhor o smishing, ele é categorizado como um tipo de ataque de engenharia social que se baseia na exploração da confiança humana em vez de exploits técnicos.

Quando os cibercriminosos fazem phishing, eles enviam e-mails fraudulentos que tentam enganar o destinatário para clicar em um link malicioso. O smishing basicamente usa mensagens de texto no lugar de e-mails.

Na essência, esses cibercriminosos querem roubar seus dados pessoais, os quais podem usar para cometer fraudes ou outros crimes na internet. Normalmente, isso inclui roubar dinheiro, seja o seu, de pessoas que você conhece ou até, às vezes, da sua empresa.

Os atacantes costumam usar um dos dois métodos para roubar esses dados:

1.       Malware: o link do URL de smishing pode te enganar para fazer você baixar malware — software malicioso — que é instalado no celular. Esse tipo de malware por SMS pode se passar por um aplicativo legítimo, induzindo você a digitar informações confidenciais e enviá-las aos criminosos virtuais.

2.       Site malicioso: o link na mensagem de smishing pode levar a um site falso que solicita que você digite informações pessoais sensíveis. Cibercriminosos usam sites maliciosos feitos sob medida para imitar os confiáveis, facilitando o roubo de suas informações.

Mensagens de texto de smishing frequentemente se passam por seu banco, pedindo informações pessoais ou financeiras, como seu número de conta ou de caixa eletrônico, para aplicar golpes financeiros. Fornecer informações é equivalente a entregar aos ladrões as chaves do seu saldo bancário.

Quanto mais pessoas usam seus smartphones pessoais no trabalho (uma tendência chamada de BYOD, ou "traga seu próprio dispositivo"), mais o smishing se torna uma ameaça para a empresa e para o cliente. Portanto, não é de se surpreender que o smishing tenha se tornado a principal forma de mensagens de texto maliciosas.

O cibercrime direcionado a dispositivos móveis está aumentando, assim como o uso de dispositivos móveis. Além de mensagens de texto serem o uso mais comum de smartphones, alguns outros fatores tornam isso uma ameaça bastante notória à segurança.

Para explicar, vamos analisar como funcionam os ataques de smishing.

Como funciona o smishing?

Enganações e fraudes são os principais componentes de qualquer ataque de phishing por SMS. Como o atacante assume uma identidade na qual você pode confiar, é mais provável que ceda às suas solicitações.

Princípios de engenharia social permitem que atacantes de smishing manipulem a tomada de decisão de uma vítima. Os fatores motivadores dessa enganação são:

1.       Confiança: ao se passarem por indivíduos e organizações legítimas, os cibercriminosos diminuem o ceticismo dos alvos. Mensagens de texto, como um canal de comunicação mais pessoal, também diminuem as defesas de uma pessoa contra ameaças.

2.       Contexto: usando uma situação que poderia ser relevante para os alvos, o atacante consegue construir um disfarce eficaz. A mensagem parece personalizada, o que ajuda a superar qualquer suspeita de que possa ser spam.

3.       Emoção: ao intensificar as emoções de um alvo, os atacantes podem anular seu pensamento crítico e incentivá-lo a agir rapidamente.

Usando esses métodos, os atacantes escrevem mensagens que farão com que o destinatário tome alguma ação.

Normalmente, os atacantes querem que o destinatário abra um link de URL dentro da mensagem de texto, sendo levados a uma ferramenta de phishing que solicita que divulguem suas informações pessoais.

Essa ferramenta costuma se apresentar na forma de um site ou aplicativo que também se passa por outro.

Os alvos são selecionados de várias maneiras, mas geralmente com base em sua afiliação a uma organização ou localização geográfica. Funcionários ou clientes de uma instituição específica, assinantes de redes móveis, estudantes universitários e até mesmo habitantes de uma determinada área podem ser alvos.

O disfarce do atacante se relaciona à instituição à qual deseja obter acesso. No entanto, pode ser qualquer máscara que o ajude a adquirir uma identidade ou dados financeiros.

Usando um método conhecido como spoofing, um atacante pode esconder seu verdadeiro número de telefone atrás de um disfarce. Os atacantes de smishing também podem usar celulares descartáveis, que são pré-pagos e baratos, para mascarar ainda mais a origem do ataque.

Os atacantes são conhecidos por usar serviços de e-mail para texto como outro meio de ocultar seus números.

Passo a passo, um atacante realizará seu ataque em algumas fases-chave:

• Distribuição da mensagem de texto "isca" para os alvos;
• Comprometimento das informações da vítima, enganando-a;
• Execução do roubo desejado usando os dados comprometidos da vítima.

Um esquema de smishing é bem-sucedido se ele usar suas informações pessoais para cometer o roubo que visavam. Esse objetivo pode incluir, mas não se limita a:

• Roubar diretamente de uma conta bancária;
• Cometer fraude de identidade para ativar cartões de crédito de maneira ilegal;
• Vazar dados corporativos privados.

Como o smishing se espalha?

Como já dito, ataques de smishing são realizados tanto por mensagens de texto tradicionais quanto por aplicativos de mensagens não SMS. No entanto, os ataques de phishing por SMS se espalham principalmente de forma ininterrupta e despercebida devido à sua natureza enganosa.

A enganação do smishing é aprimorada, pois os usuários têm uma falsa confiança na segurança das mensagens de texto.

A maioria das pessoas conhece os riscos de fraudes por e-mail. Por exemplo, você deve ter aprendido a desconfiar de e-mails genéricos que dizem "oi, confira este link". A exclusão de uma mensagem pessoal autêntica costuma ser um bom sinal de golpes de spam por e-mail.

No entanto, ao telefone as pessoas são menos cautelosas. Muitas acreditam que seus smartphones são mais seguros do que os computadores. Porém, a segurança dos smartphones é limitada e não oferece proteção direta contra smishing.

Independentemente dos meios utilizados, esses esquemas acabam exigindo muito pouco além de confiança e de um lapso de julgamento para terem sucesso. Como resultado, o smishing pode atacar qualquer dispositivo móvel com recursos de mensagens de texto.

Embora os dispositivos Android sejam a plataforma majoritária no mercado e um alvo ideal para mensagens de texto maliciosas, os dispositivos iOS também são alvos.

A tecnologia iOS da Apple para dispositivos móveis é reconhecida pela segurança, mas nenhum sistema operacional é capaz de se proteger sozinho contra ataques como phishing. Uma falsa sensação de segurança pode deixar os usuários vulneráveis, seja qual for a plataforma.

Outro fator de risco é que você usa o smartphone em qualquer lugar, até mesmo quando está distraído ou com pressa. Isso significa que está mais propenso a ser pego desprevenido e a responder sem pensar quando recebe uma mensagem que solicita informações bancárias ou o resgate de um cupom.

Tipos de ataques de smishing

Cada ataque de smishing usa métodos semelhantes, embora a apresentação possa variar significativamente. Os atacantes podem usar uma ampla variedade de identidades e premissas para manter esses ataques por SMS atualizados.

Infelizmente, é quase impossível fazer uma lista abrangente de tipos de smishing, devido à reinvenção interminável desses ataques. Usando algumas premissas estabelecidas de golpes, podemos revelar características para ajudá-lo a identificar um ataque de smishing antes de se tornar uma vítima.

Aqui estão algumas premissas comuns de ataques de smishing:

Smishing da COVID-19

As golpes de smishing da COVID-19 são baseadas em programas legítimos de ajuda projetados por governos, organizações de saúde e financeiras para a recuperação diante da pandemia da COVID-19.

Os atacantes usaram esses esquemas para manipular os medos das vítimas em relação à saúde e finanças para cometer fraudes. Sinais de aviso podem incluir:

• Rastreamento de contato que solicita informações sensíveis (número de identidade, do cartão de crédito etc.);
• Auxílio financeiro baseado em impostos, como auxílios emergenciais;
• Atualizações de segurança em saúde pública;
• Pedidos de informações para o Censo.

Smishing de serviços financeiros

Os ataques de smishing de serviços financeiros são disfarçados como notificações de instituições financeiras. Quase todo mundo usa serviços bancários e de cartão de crédito, então são suscetíveis a mensagens genéricas e específicas da instituição.

Empréstimos e investimentos também são premissas comuns nesta categoria.

Um cibercriminoso se passa por um banco ou por outra instituição financeira para cometer fraudes financeiras.

Características de um golpe de smishing de serviços financeiros podem incluir um pedido urgente para desbloquear sua conta, ser solicitado a verificar atividade suspeita na conta, entre outros.

Smishing de presente

O smishing de presente sugere a promessa de serviços ou produtos gratuitos, muitas vezes de um varejista respeitável.

Podem ser sorteios, recompensas de compras ou qualquer outro tipo de oferta gratuita. Quando um atacante deixa você empolgado ao propor a ideia de algo "grátis", isso serve como uma anulação lógica para fazer com que tome uma ação mais rapidamente.

Sinais desse ataque podem incluir ofertas por tempo limitado ou seleção exclusiva para um cartão-presente gratuito.

Falsificação de fatura ou confirmação de pedido por mensagem de texto

A confirmação por smishing envolve uma falsa confirmação de uma compra recente ou fatura de cobrança de um serviço. Pode ser fornecido um link de acompanhamento para manipular sua curiosidade ou provocar uma ação imediata, desencadeando o medo de cobranças indesejadas.

Evidências desse golpe podem incluir sequências de mensagens de confirmação de pedido ou a ausência de um nome de empresa.

Smishing de atendimento ao cliente

Atacantes de smishing de atendimento ao cliente se passam por um representante de suporte de uma empresa confiável para ajudar a resolver um problema.

Empresas de tecnologia e de comércio eletrônico de grande volume de acessos, como Apple, Google e Amazon, são disfarces eficazes para atacantes com essa premissa.

Normalmente, o atacante afirmará que há um erro em sua conta e lhe dará etapas para resolvê-lo. O pedido pode ser tão simples quanto usar uma página de login fraudulenta, enquanto esquemas mais complexos podem pedir que você forneça um código real de recuperação de conta na tentativa de redefinir sua senha.

Alertas de um esquema de smishing baseado em suporte incluem problemas com faturamento, acesso à conta, atividade incomum ou resolução de uma reclamação recente do cliente.

Exemplos de smishing

Com o SMS disponível para quase todos que possuem um celular, sabe-se que os ataques de smishing acontecem no mundo todo. Aqui estão alguns exemplos para você anotar:

Golpe do acesso antecipado ao iPhone 12 da Apple — confirmação de pedido e smishing de presente

Em setembro de 2020, uma campanha de smishing surgiu para atrair pessoas a fornecer informações de cartão de crédito em troca de um iPhone 12 gratuito.

O esquema utilizava uma premissa de confirmação de pedido, na qual a mensagem de texto afirma que uma entrega foi enviada para o endereço errado. O link do URL no texto enviava os usuários para uma ferramenta de phishing que se passava por um chatbot da Apple.

A ferramenta então guiava a vítima por um processo para reivindicar seu iPhone 12 gratuito como parte de um programa de teste de acesso antecipado, mas solicitava dados do cartão de crédito para cobrir uma pequena taxa de envio.

Golpes dos correios dos EUA e da FedEx — confirmação de pedido e smishing de presente

Também em setembro de 2020, começaram a circular relatos de um golpe de SMS falso de entrega de pacotes da USPS e da FedEx, nos Estados Unidos. Esse ataque de smishing roubava credenciais de conta para vários serviços ou dados de cartão de crédito.

As mensagens começavam com a alegação de entrega de pacote perdido ou incorreto, e forneciam um link para uma ferramenta de phishing que fingia ser uma pesquisa de sorteio da FedEx ou da USPS.

Embora a premissa desses sites de phishing poderia variar, muitos foram identificados como tentativas de coletar logins de contas para serviços como Google.

Golpe de obrigatoriedade de teste de COVID-19 — smishing de COVID-19

Em abril de 2020, o Better Business Bureau recebeu um aumento nos relatos de impostores do governo dos EUA enviando mensagens de texto pedindo às pessoas que fizessem um teste obrigatório de COVID-19 acessando o link de um site.

Muitas pessoas perceberam imediatamente que era um golpe, já que não existe teste online para COVID-19.

No entanto, a premissa desses ataques de smishing poderia facilmente evoluir, já que aproveitar os medos da pandemia foi um método eficaz para vitimar o público.

Como evitar o smishing

A boa notícia é que as possíveis ramificações desses ataques são fáceis de combater. Para se proteger, você não precisa fazer absolutamente nada. Os ataques só podem causar danos se você morder a isca.

Note ainda que mensagens de texto são um meio legítimo para muitos varejistas e instituições entrarem em contato com você.  Nem todas as mensagens devem ser ignoradas, mas você deve agir pensando na segurança.

Para se proteger contra esses ataques, é necessário sempre ter em mente algumas coisas.

Não responda

Até mesmo solicitações para responder com "PARAR" para cancelar a inscrição podem ser um truque para identificar números de celular ativos. Os atacantes dependem da sua curiosidade ou ansiedade em relação à situação em questão, mas você pode recusar se envolver.

Se a mensagem for urgente, vá com calma

Você deve encarar atualizações urgentes de conta e ofertas por tempo limitado como sinais de alerta para tentativas de smishing. Use uma abordagem cética e prossiga com cautela.

Ligue para o banco ou comerciante

Instituições legítimas não solicitam atualizações de conta ou informações de login por mensagem de texto. Além disso, avisos urgentes podem ser verificados nas contas online ou por meio de uma linha direta telefônica oficial.

Não use links ou dados de contato na mensagem

Não use links ou dados de contato em mensagens que te deixem desconfortável. Sempre que possível, acesse os canais de contato oficiais.

Verifique o número de telefone

Números de telefone com aparência estranha, como os de 4 dígitos, podem ser evidência de serviços de e-mail para mensagem de texto. Esta é uma das muitas táticas que um golpista pode usar para ocultar seu número de verdade.

Nunca guarde o número de cartões de crédito no celular

A melhor maneira de evitar o roubo de dados financeiros de uma carteira digital é nunca armazená-los.

Use autenticação multifatorial (MFA)

Uma senha exposta ainda pode ser inútil para um atacante de smishing se a conta que está sendo violada requer uma segunda "chave" de verificação.

A variante mais comum de MFA é a autenticação de dois fatores (2FA), a qual costuma usar um código de verificação enviado por mensagem de texto. Variantes mais seguras usam um aplicativo dedicado para a verificação (como o Google Authenticator).

Nunca forneça uma senha ou código de recuperação de conta por mensagem de texto

Tanto as senhas quanto os códigos de recuperação de autenticação em duas etapas (2FA) enviados por mensagem de texto podem comprometer sua conta se caírem em mãos erradas.

Nunca compartilhe estas informações com ninguém; use-as somente em sites oficiais.

Baixe um aplicativo contra malware

Produtos como Kaspersky Mobile Security podem proteger contra aplicativos maliciosos, bem como os próprios links de phishing por SMS.

Denuncie todas as tentativas de phishing por SMS às autoridades

Lembre-se de que, assim como golpes de phishing por e-mail, o smishing é um crime de trapaça: ele só funcionará se conseguir fazer com que a vítima coopere, clicando em um link ou passando informações.

A proteção mais simples contra esses ataques é não fazer nada. Se você não responder, a mensagem mal-intencionada não pode fazer nada.

O que fazer caso se torne vítima de smishing?

Ataques de smishing são astutos e podem já ter te enganado em algum momento, então será necessário um plano de recuperação.

Realize essas ações para limitar os danos de um smishing bem-sucedido:

1.       Denuncie o ataque suspeito a instituições que possam prestar assistência;

2.       Congele seu crédito para evitar futuras ou atuais fraudes de identidade;

3.       Mude todas as senhas e PINs de contas, quando possível;

4.       Monitore as finanças, o crédito e várias contas online em busca de localidades de acesso estranhas etc.

Cada um desses passos é importantíssimo para sua proteção após um ataque de smishing. No entanto, relatar um ataque ajuda na recuperação e impede que outras pessoas se tornem vítimas.

Artigos relacionados:

O que fazer caso sua conta de e-mail seja invadida

Fraudes de celular – como identificar e proteger-se