O que é smishing?
O termo "smishing" pode parecer bobo, mas o significado de smishing é menos divertido do que parece. Um ataque de smishing é um tipo deataque de phishing que utiliza mensagens de texto como um vetor de ataque. Ele pode se basear em engenharia social, anexos maliciosos e sites fraudulentos para enganar as pessoas.
Um golpe de smishing pode ser fácil de executar, difícil de rastrear e perigoso em termos de impacto. Um ataque de smishing bem-sucedido pode expor suas senhas, fotos, vídeos e outros dados confidenciais a um golpista, além de funcionar como um vetor de infecção para um malware instalado em seu smartphone.
Cada um dos bilhões de usuários de smartphones em todo o mundo é um alvo potencial de smishing. Somente nos Estados Unidos, a Federal Trade Commission registrou quase 400.000 reclamações de fraude sobre mensagens de texto indesejadas, incluindo ataques de smishing em 2021. Os consumidores relataram uma perda de mais de US$ 80 milhões para os órgãos reguladores no mesmo ano.
Este guia o ajudará a evitar ataques de smishing e a saber como evitar o smishing. Continue lendo para obter detalhes mais aprofundados sobre o seguinte:
- Definição de smishing: o que é um ataque de smishing em segurança cibernética?
- Exemplos de smishing
- Smishing vs. phishing
- O que você pode fazer no caso de um ataque de smishing
- Como se proteger do smishing
Definição e explicação de Smishing
Aqui está uma definição rápida de smishing: smishing é um tipo de ataque de segurança cibernética que ocorre por meio de serviços de mensagens curtas (SMS), também conhecidos como mensagens de texto. Alguns especialistas também podem definir smishing como um ataque a qualquer tipo de mensagem de texto, e não apenas a sistemas nativos de mensagens de texto para celular, como mensagens em plataformas de mídia social.
Uma maneira mais simples de definir smishing é chamá-lo de mensagem de texto de phishing. Isso leva à pergunta: o que é phishing? Bem, phishing é quando um agente de ameaça se faz passar por uma entidade confiável para induzir um alvo a cometer um erro de segurança cibernética, como compartilhar informações confidenciais, geralmente por e-mail. Uma mensagem de texto de phishing, também conhecida como smishing, é phishing por texto.
O que é um ataque de smishing?
Um ataque de smishing ocorre quando um agente de ameaças usa mensagens de texto maliciosas para violar a segurança cibernética de um alvo. O objetivo de um ataque de smishing normalmente é obter as seguintes informações confidenciais para roubo de identidade ou crimes financeiros:
- Nomes
- Endereços
- Nomes de usuário
- Senhas
- Números de cartão de crédito
- Códigos de cartão de crédito
- Dados bancários
Um ataque de texto de phishing também pode ser altamente direcionado. Quando um agente de ameaças sabe o número de telefone de uma vítima, ele pode criar um ataque convincente. Por exemplo, se um golpista tem como alvo o número de celular de um executivo financeiro, ele pode lançar um ataque de smishing que parece ser de um possível contato comercial.
Você pode ler sobre phishing vs spear phishing vs whaling para saber mais sobre os diferentes tipos de ataques de engenharia social que usam mensagens de texto como um vetor de ameaça.
Como funciona o smishing?
Assim como o phishing, o smishing nos leva a acreditar que as mensagens falsas são legítimas para que possamos interagir com elas sem preocupação. Os ataques de smishing funcionam usando alguns ou todos os recursos a seguir:
- Contexto: Os textos de smishing usam o contexto para parecerem genuínos. Um texto de smishing pode parecer que é do banco, do seu varejista favorito ou do governo. Por exemplo, golpes de smishing com tema de IRS que roubam informações pessoais e financeiras estão aumentando porque estão usando o contexto de forma eficaz para ganhar a confiança da vítima.
- Seleção de alvos: As vítimas de smishing podem ser selecionadas com base em dados demográficos e afiliações locais. Por exemplo, uma gangue de extorsionários pode enviar textos falsos de uma instituição financeira popular em um determinado código de área para números locais. Como alternativa, eles podem enviar textos de phishing de uma universidade para seus alunos depois de acessar os números de telefone.
- Engenharia social: Um ataque de engenharia social manipula as emoções de um alvo, como medo, amor, luxúria, ganância, raiva ou simpatia, para obscurecer seu julgamento. Por exemplo, uma mensagem fraudulenta que parece ser de um ente querido pode fingir uma emergência para induzir a vítima a enviar uma transferência de dinheiro.
- Anexos mal-intencionados: Uma mensagem de texto de phishing pode ser armada com um anexo malicioso que parece ser uma imagem, um vídeo ou um documento, mas é um vírus, adware, spyware, Trojan ou ransomware.
- Links maliciosos: Os ataques de smishing geralmente usam links maliciosos, malware ou sites fraudulentos.
O smishing também funciona com base na simplicidade das mensagens de texto. Você pode identificar um e-mail de phishing observando erros gramaticais, erros de ortografia, problemas de formatação de imagem, endereços de e-mail estranhos e outras irregularidades. Mas as mensagens de texto geralmente são mais curtas e não contêm gráficos, como logotipos de empresas.
Por exemplo, um texto típico do seu banco pode ter algumas frases e apresentar um link para um varejista ou um site financeiro. Ao contrário de um e-mail oficial, esse tipo de texto é fácil de ser falsificado.
É menos provável que os hackers cometam erros gramaticais ao escrever uma ou duas frases em um ataque de smishing. E eles não precisam se preocupar em replicar logotipos para fazer com que os textos de phishing pareçam autênticos. Eles também podem usar técnicas de falsificação de identificação de chamadas e telefones fixos para encobrir seus rastros.
Exemplos de smishing: Diferentes tipos de ataques de smishing
- Você ganhou um concurso ou um prêmio e precisa reivindicá-lo.
- Alguém lhe enviou um presente ou um cupom que você precisa ativar.
- Sua instituição financeira deve confirmar seus dados.
- Uma transferência de dinheiro pendente para sua conta requer sua autorização.
- A compra cara que você fez precisa ser verificada.
- Foi detectado um vírus em seu telefone.
- Sua conta foi bloqueada devido a atividades suspeitas ou tentativas incomuns de login.
Smishing vs. phishing: qual é a diferença entre smishing e phishing?
Smishing e phishing podem parecer semelhantes, mas não são exatamente a mesma coisa. Então, qual é a diferença entre phishing e smishing? A maior diferença na comparação entre smishing e phishing é que o smishing usa o SMS como meio de ataque, enquanto o phishing é um termo genérico para qualquer e-mail, site, mensagem de texto ou mensagem de voz que use engano para atacar um alvo. Em outras palavras, o smishing é um tipo de ataque de phishing que ocorre por meio de uma mensagem de texto. O objetivo de ambos os ataques é coletar suas informações pessoais para atividades fraudulentas. Portanto, isso é o que os dois métodos têm em comum.
O que fazer no caso de um ataque de smishing
Relatar o ataque
A primeira coisa que você deve fazer é relatar o ataque à autoridade relevante com o máximo de detalhes possível. Por exemplo, se você for o alvo de um ataque de smishing do IRS, envie um e-mail sobre o ataque para phishing@irs.gov com os seguintes detalhes:
- Número de identificação do chamador de phishing.
- Uma captura de tela do ataque.
- Uma cópia da mensagem se não for possível capturar uma imagem da tela.
- A data, a hora, o fuso horário e o número do destinatário.
Outras organizações também foram forçadas a reagir a esses golpes. Por exemplo, bancos e empresas de pagamento como o PayPal abriram canais de denúncia de phishing. Se você usa o PayPal, saiba como reconhecer e-mails de phishing do PayPal para proteger sua conta.
Alterar todas as senhas
Se você suspeitar que está sendo alvo de um ataque de smishing, altere imediatamente todas as suas senhas e PINs. Sua nova senha deve ser complexa e exclusiva. Você pode ler nosso guia para saber como criar uma senha forte.
Congelar seu cartão
Um agente de ameaças pode tentar usar seu cartão de débito ou crédito depois de obter acesso aos seus dados confidenciais. Sugerimos que, após alterar suas senhas, você congele temporariamente todos os seus cartões para evitar fraudes financeiras. Você pode congelar seu cartão acessando sua conta de cartão de crédito ou ligando para sua instituição financeira.
Além disso, informe o emissor do seu cartão de crédito sobre o ataque de smishing. Eles podem desativar seu cartão e emitir um novo com um conjunto diferente de dígitos.
Monitorar outras atividades
Monitore suas contas quanto aos seguintes tipos de atividades suspeitas:
- Transações desconhecidas em sua conta bancária ou de cartão de crédito.
- Locais de login incomuns para suas contas.
- Suas imagens, vídeos ou mensagens de texto confidenciais estão vazando.
- Amigos recebendo mensagens suspeitas de você.
- Empréstimos feitos em seu nome.
- Inscrição em programas de ajuda financeira do governo
Mesmo que você não perceba nenhuma atividade suspeita imediatamente, fique de olho em suas contas a longo prazo após um ataque de smishing. Uma excelente maneira de monitorar suas contas financeiras em busca de irregularidades é verificar seus relatórios de crédito.
A lei federal permite que você acesse umrelatório de crédito gratuito todos os anos de uma das principais agências de crédito. Isso equivale a três relatórios gratuitos por ano. E até dezembro de 2023, todos nos Estados Unidos podem acessar um relatório de crédito gratuito por semana de todas as três agências.
Como parar de enviar mensagens de texto de smishing
Depois de determinar que um texto é fraudulento, você pode bloqueá-lo em um telefone iOS ou Android . Em um iPhone, vá para a página de contatos e toque em Block this Caller (Bloquear este chamador). Em um telefone Android , vá para a página de contatos e toque em Block contact (Bloquear contato).
Ambos os sistemas operacionais também oferecem filtros que permitem bloquear spam e outros textos indesejados.
Como filtrar textos no iPhone:
- Vá para Configurações.
- Toque em Mensagens.
- Deslize o botão ao lado de Filter Unknown Senders (Filtrar remetentes desconhecidos).
Como filtrar textos em Android:
- Vá para Mensagens.
- Toque nos três pontos para abrir Configurações.
- Toque em Bloquear números e mensagens.
- Ativar o identificador de chamadas e a proteção contra spam.
Sua operadora de celular também pode oferecer ferramentas anti-smishing:
- Verizon
- AT&T
Como se proteger do smishing
Os ataques de smishing podem ser complexos, utilizando linguagem alarmista, anexos maliciosos, links inseguros e sites fraudulentos para violar nossa segurança cibernética. Para se proteger contra o smishing, é necessário estar preparado em várias frentes.
Cuidado com as mensagens urgentes
Os textos de phishing podem parecer urgentes para impedi-lo de pensar com clareza antes de reagir. A primeira coisa que você deve fazer depois de receber uma mensagem urgente é respirar fundo. Avalie a situação antes de responder. É improvável que uma entidade legítima solicite suas informações confidenciais ou pagamento por mensagem de texto. Se tiver alguma dúvida, procure o número da entidade listado publicamente em seu site oficial e ligue diretamente para ela.
Confirmar números de telefone
Verifique o ID do autor da chamada. Procure o número abaixo do ID e pesquise-o on-line para ver se ele corresponde ao contexto da chamada.
Autenticação multifatorial
Ative a autenticação multifator (MFA) em suas contas para protegê-las contra hackers que possam ter acesso às suas credenciais de login. A MFA força os usuários a autenticar sua identidade de outra forma quando há atividade suspeita durante uma tentativa de login.
Evite clicar em qualquer link na mensagem
Os ataques de smishing podem solicitar que você abra urgentemente um link para aproveitar uma grande oferta ou para pagar impostos à Receita Federal e evitar ser preso. Esses links podem levá-lo a sites mal-intencionados que roubam os dados do seu cartão de crédito ou outras informações confidenciais. É melhor evitar clicar em qualquer link em mensagens de texto. Em vez disso, verifique a origem da mensagem.
Não responda a números desconhecidos
A triagem de chamadas pode ajudá-lo a se proteger contra ataques de smishing. Uma mensagem de um número desconhecido pode ser parte de um golpe.
Evite manter informações de cartão de crédito armazenadas em seu telefone
Evite armazenar os dados do seu cartão de crédito no telefone na forma de formulários da Web, arquivos de texto ou até mesmo capturas de tela. Um ataque de smishing que instala um Trojan ou spyware em seu dispositivo pode facilmente roubar essas informações. Identifique ossinais de malware desse tipo de ataque. Além disso, use umantivírus gratuito para fazer varreduras regulares em seu sistema em busca de vírus, ransomware, spyware, adware e cavalos de Troia.
Ligue para os bancos antes de fazer qualquer solicitação bancária
Não é incomum que os bancos lhe enviem mensagens de texto sobre compras recentes e limites de crédito. Mas é improvável que seu banco solicite suas informações confidenciais para uma transferência por mensagem de texto. Sempre entre em contato com seu banco para verificar qualquer solicitação por texto ou e-mail.
Evite compartilhar informações de senha
Nunca compartilhe nomes de usuário e senhas em mensagens de texto, mesmo que confie na fonte. Os hackers podem encontrar essas informações na pasta de mensagens enviadas de seu dispositivo.
Investir em soluções antimalware
Faça o download de uma ferramenta de segurança cibernética para o seu telefone para se proteger de diferentes tipos de ataques. Por exemplo, o Malwarebytes para Android protege os usuários do Android contra todos os tipos de malware. Ele também oferece aos usuários proteção contra links/sites maliciosos e phishing. Da mesma forma, o Malwarebytes para iOS protege os usuários do iPhone e do iPad contra malware, chamadas de spam, anúncios, sites fraudulentos e sites de phishing.
O surgimento do smishing
Como dito anteriormente, há umaumento perceptível no phishing por SMS. O smishing é um vetor de ataque fácil para os golpistas utilizarem contra milhões de pessoas que dependem de mensagens de texto para se comunicar.
Os crimes de smishing podem resultar em diversos problemas de segurança e privacidade, inclusive roubo de identidade. Os especialistas afirmam que osefeitos do roubo de identidade podem durar vários anos, desde perda de tempo, dinheiro, dívidas fiscais e crédito prejudicado até um registro criminal.
Uma abordagem proativa da segurança cibernética pode evitar ataques de smishing. Trate as mensagens de texto suspeitas com cautela e equipe seu dispositivo com um software de segurança que reduza o risco de um ataque de phishing.
Relacionado: O que são as mensagens RCS?