Smishing

Smishing é um tipo de ataque cibernético que ocorre através de serviços de mensagens curtas (SMS) - mensagens de texto. Ele pode contar com engenharia social, anexos maliciosos e sites fraudulentos para enganar as pessoas.

.st0{fill:#0D3ECC;} FAÇA O DOWNLOAD GRATUITO DO SITE MALWAREBYTES


Também para Windows, iOS, Android, Chromebook e Para Empresas

O que é smishing? 

O termo "smishing" pode soar engraçado, mas o significado de smishing é menos divertido do que parece. Um ataque de smishing é um tipo de ataque de phishing que utiliza mensagens de texto como vetor de ataque. Ele pode contar com engenharia social, anexos maliciosos e sites fraudulentos para enganar as pessoas.

Um golpe de smishing pode ser fácil de executar, difícil de rastrear e perigoso no impacto. Um ataque de smishing bem-sucedido pode expor suas senhas, fotos, vídeos e outros dados sensíveis para um golpista e também funcionar como vetor de infecção para a inserção de malware no seu smartphone.

Cada um dos bilhões de usuários de smartphones no mundo é um potencial alvo de smishing. Apenas nos Estados Unidos, a Comissão Federal de Comércio registrou quase 400.000 queixas de fraudes sobre textos indesejados, incluindo ataques de smishing em 2021. Consumidores relataram uma perda de mais de $80 milhões para os reguladores no mesmo ano.

Este guia irá ajudá-lo a evitar ataques de smishing e aprender como preveni-lo. Leia para obter mais detalhes sobre os seguintes tópicos:

  • Definição de smishing: o que é um ataque de smishing em cibersegurança?
  • Exemplos de smishing
  • Smishing vs phishing
  • O que você pode fazer em caso de um ataque de smishing
  • Como se proteger do smishing

Definição e explicação de smishing

Aqui está uma definição rápida de smishing: smishing é um tipo de ataque cibernético que ocorre por meio de serviços de mensagens curtas (SMS), também conhecido como mensagens de texto. Alguns especialistas podem definir smishing como um ataque por meio de qualquer tipo de mensagem de texto, e não apenas sistemas nativos de mensagens móveis, como mensagens em plataformas de mídia social.

Uma maneira mais simples de definir smishing é chamá-lo de mensagem de texto de phishing. Isso leva à pergunta: o que é phishing? Bem, phishing é quando um agente de ameaça se faz passar por uma entidade confiável para enganar um alvo a cometer um erro de cibersegurança, como compartilhar informações confidenciais, geralmente por e-mail. Uma mensagem de texto de phishing, também conhecida como smishing, é phishing por texto.

O que é um ataque de smishing?

Um ataque de smishing ocorre quando um agente de ameaça usa mensagens de texto maliciosas para violar a segurança cibernética de um alvo. O objetivo típico de um ataque de smishing é obter as seguintes informações confidenciais para roubo de identidade ou crimes financeiros:

  • Nomes
  • Endereços
  • Nomes de usuário
  • Senhas
  • Números de cartão de crédito
  • Códigos de cartão de crédito
  • Dados bancários

Um ataque de texto phishing também pode ser altamente direcionado. Quando um agente sabe o número de telefone da vítima, ele pode projetar um ataque convincente. Por exemplo, se um golpista estiver mirando no número de um executivo financeiro, pode lançar um ataque de smishing que parece ser de um contato comercial potencial.

Você pode se informar sobrephishing vs spear phishing vs whaling para entender os diferentes tipos de ataques de engenharia social que utilizam mensagens de texto como vetor de ameaça.

Como o smishing funciona? 

Assim como o phishing, o smishing nos engana para acreditar que mensagens falsas são legítimas para que interajamos com elas sem preocupação. Ataques de smishing funcionam usando algumas ou todas as seguintes características:

  • Contexto: Mensagens de smishing usam contexto para parecer genuínas. Uma mensagem de smishing pode parecer que vem do banco, do seu varejista favorito ou do governo. Por exemplo, golpes de smishing temáticos pelo IRS que roubam informações pessoais e financeiras estão crescendo porque usam o contexto de forma eficaz para ganhar a confiança da vítima.
  • Seleção de alvos: As vítimas de smishing podem ser selecionadas com base em dados demográficos e afiliações locais. Por exemplo, uma quadrilha de extorsionistas pode enviar mensagens falsas de uma instituição financeira popular dentro de um determinado código de área para números locais. Alternativamente, eles podem enviar mensagens de phishing de uma universidade para seus estudantes após obter acesso aos números de telefone.
  • Engenharia social: Um ataque de engenharia social manipula as emoções da vítima, como medo, amor, luxúria, ganância, raiva ou simpatia, para nublar seu julgamento. Por exemplo, uma mensagem fraudulenta que parece ser de um ente querido pode fingir uma emergência para enganar a vítima a enviar uma transferência de dinheiro.
  • Anexos maliciosos: Uma mensagem de texto de phishing pode vir com um anexo malicioso que parece ser uma imagem, vídeo ou documento, mas é um vírus, adware, spyware, Trojan ou ransomware.
  • Links maliciosos: Ataques de smishing frequentemente usam links maliciosos, malwares ou sites fraudulentos.

O smishing também funciona ao se basear na simplicidade das mensagens de texto. Você pode perceber um e-mail de phishing prestando atenção em erros gramaticais, erros de digitação, problemas de formatação de imagem, endereços de e-mail estranhos e outras irregularidades. Mas as mensagens de texto geralmente são mais curtas e não costumam carregar gráficos como logos de empresas.

Por exemplo, um texto típico do seu banco pode ter algumas frases de comprimento e incluir um link para um site de varejo ou financeiro. Ao contrário de um e-mail oficial, um texto desse tipo é fácil de falsificar.

Hackers têm menos chance de cometer erros gramaticais ao escrever uma ou duas frases em um ataque de smishing. E eles não precisam se preocupar em replicar logotipos para fazer com que as mensagens pareçam autênticas. Eles também podem usar técnicas de falsificação de ID do chamador e telefones descartáveis para cobrir seus rastros.

Exemplos de smishing: diferentes tipos de ataques de smishing 

  1. Você ganhou um concurso ou prêmio e deve reivindicá-lo.
  2. Alguém lhe enviou um presente ou cupom que você precisa ativar.
  3. Sua instituição financeira precisa confirmar seus dados.
  4. Uma transferência de dinheiro pendente para sua conta requer sua autorização.
  5. A compra cara que você fez precisa de verificação.
  6. Um vírus foi detectado no seu telefone.
  7. Sua conta foi bloqueada devido a atividade suspeita ou tentativas de login incomuns.

Smishing vs phishing: qual é a diferença entre smishing e phishing? 

smishing-vs-phishing

Smishing e phishing podem soar semelhantes, mas não são exatamente o mesmo. Então, qual é a diferença entre phishing e smishing? A maior diferença na comparação smishing vs phishing é que o smishing usa SMS como meio de ataque, enquanto phishing é um termo genérico para qualquer e-mail, site, mensagem de texto ou mensagem de voz que usa a enganação para atacar um alvo. Em outras palavras, smishing é um tipo de ataque de phishing que ocorre por mensagem de texto. Os objetivos de ambos os ataques são coletar suas informações pessoais para atividades fraudulentas. Então, é isso que ambos os métodos têm em comum.

O que fazer em caso de ataque de smishing 

Denuncie o ataque 

A primeira coisa que você deve fazer é reportar o ataque para a autoridade relevante com o máximo de detalhes possível. Por exemplo, se você for alvo de um ataque de smishing do IRS, envie um e-mail do ataque para phishing@irs.gov com os seguintes detalhes:

  • Número de ID do chamador de phishing.
  • Uma captura de tela do ataque.
  • Uma cópia da mensagem caso você não possa capturar uma tela.
  • A data, hora, fuso horário e o número do destinatário.

Outras organizações também foram obrigadas a reagir a esses golpes. Por exemplo, bancos e empresas de pagamento como PayPal abriram canais para relatar phishing. Se você usa PayPal, aprenda como reconhecere-mails de phishing do PayPal para proteger sua conta. 

Mude todas as senhas 

Se você suspeitar que é alvo de um ataque de smishing, mude imediatamente todas as suas senhas e PINs. Sua nova senha deve ser complexa e única. Você pode ler nosso guia para aprender como criar uma senha forte.

Congele seu cartão 

Um agente malicioso pode tentar usar seu cartão de débito ou crédito após acessar seus dados sensíveis. Sugerimos que, após mudar suas senhas, você congele temporariamente todos os seus cartões para evitar fraudes financeiras. Você pode congelar seu cartão ao fazer login na sua conta de cartão de crédito ou ligando para sua instituição financeira.

Além disso, informe seu emissor de cartão de crédito sobre o ataque de smishing. Podem desativar seu cartão e emitir um novo com um conjunto de dígitos diferente.

Monitore atividades futuras 

Monitore suas contas para os seguintes tipos de atividades suspeitas:

  • Transações desconhecidas na sua conta bancária ou de cartão de crédito.
  • Locais de login incomuns para suas contas.
  • Suas imagens, vídeos ou mensagens de texto sensíveis estão vazando.
  • Amigos recebendo mensagens suspeitas de você.
  • Empréstimos em seu nome.
  • Inscrição em programas de assistência financeira governamentais

Mesmo que você não note nenhuma atividade suspeita imediata, fique de olho nas suas contas a longo prazo após um ataque de smishing. Uma ótima maneira de monitorar suas contas financeiras para irregularidades é verificar seus relatórios de crédito.

A lei federal permite que você acesse umrelatório de crédito gratuito anualmente de um grande bureau de crédito. Isso equivale a três relatórios gratuitos ao ano. E até dezembro de 2023, todos nos Estados Unidos podem acessar um relatório de crédito gratuito a cada semana de todos os três bureaus.

Como parar mensagens de smishing 

Após determinar que um texto é fraudulento, você pode bloqueá-lo em um telefone iOS ou Android. Em um iPhone, vá até a página de contato e toque em Bloquear este Chamador. Em um telefone Android, vá até a página de contato e toque em Bloquear contato.

Ambos os sistemas operacionais também oferecem filtros que permitem bloquear spam e outras mensagens indesejadas.

Como filtrar mensagens no iPhone:

  1. Vá para Ajustes.
  2. Toque em Mensagens.
  3. Deslize o botão ao lado de Filtrar Remetentes Desconhecidos.

Como filtrar mensagens no Android:

  1. Vá para Mensagens.
  2. Toque nos três pontos para abrir Configurações.
  3. Toque em Bloquear números e mensagens.
  4. Ative Proteção contra ID de Chamadas e spam.

Sua operadora de telefonia móvel também pode oferecer ferramentas anti-smishing:

Verizon

AT&T

T-Mobile

Como se proteger do smishing 

Os ataques de smishing podem ser complexos, utilizando linguagem alarmista, anexos maliciosos, links inseguros e sites fraudulentos para comprometer nossa cibersegurança. Proteger-se contra o smishing exige preparação em múltiplas frentes.

Cuidado com mensagens urgentes 

Mensagens de phishing podem parecer urgentes para impedir que você pense com clareza antes de reagir. A primeira coisa que você deve fazer ao receber uma mensagem urgente é respirar fundo. Avalie a situação antes de responder. É improvável que uma entidade legítima peça suas informações sensíveis ou pagamento via mensagem de texto. Se tiver dúvidas, encontre o número público da entidade no site oficial e ligue diretamente.

Confirme números de telefone 

Verifique o ID do chamador. Procure o número abaixo do ID e pesquise online para ver se corresponde ao contexto da ligação.

Autenticação multifator 

Ative a autenticação multifator (MFA) em suas contas para protegê-las de hackers que possam ter acesso às suas credenciais de login. O MFA exige que os usuários autentiquem sua identidade de outra forma quando há atividade suspeita durante uma tentativa de login.

Os ataques de smishing podem pedir que você abra urgentemente um link para aproveitar uma grande oferta ou para pagar impostos ao IRS e evitar a prisão. Esses links podem levá-lo a sites maliciosos que roubam seus dados de cartão de crédito ou outras informações confidenciais. É melhor evitar clicar em qualquer link em mensagens de texto. Em vez disso, verifique a fonte da mensagem.

Não responda a números desconhecidos 

Filtrar chamadas pode ajudar a proteger você de ataques de smishing. Uma mensagem de um número desconhecido pode ser parte de um golpe.

Evite manter informações de cartão de crédito armazenadas no seu telefone 

Evite armazenar seus dados de cartão de crédito em seu telefone na forma de formulários da web, arquivos de texto ou até mesmo capturas de tela. Um ataque de smishing que instala um Trojan ou spyware em seu dispositivo poderia facilmente roubar essa informação. Identifique os sinais de malware de tal ataque. Além disso, use um download gratuito de antivírus para escanear regularmente seu sistema em busca de vírus, ransomware, spyware, adware e Trojans.

Ligue para o banco antes de atender qualquer solicitação bancária 

Não é incomum que bancos enviem mensagens sobre compras recentes e limites de crédito. Mas é improvável que seu banco solicite informações sensíveis para uma transferência via texto. Sempre ligue para o banco para verificar qualquer solicitação por texto ou e-mail.

Evite compartilhar informações de senha 

Nunca compartilhe nomes de usuário e senhas em mensagens de texto, mesmo que confie na fonte. Hackers podem encontrar essas informações na pasta de mensagens enviadas do seu dispositivo. 

Invista em soluções anti-malware 

Baixe uma ferramenta de cibersegurança para o seu telefone para se proteger de diferentes tipos de ataques. Por exemplo,Malwarebytes para Android protege usuários de Android contra todos os tipos de malware. Também oferece proteção contra links/ sites maliciosos e phishing. Da mesma forma, Malwarebytes para iOS protege usuários de iPhone e iPad contra malware, chamadas de spam, anúncios, sites fraudulentos e de phishing.

O aumento do smishing 

Como mencionado anteriormente, há um claro aumento no phishing via SMS. O smishing é um vetor de ataque fácil para golpistas utilizarem contra milhões de pessoas que dependem de mensagens de texto para se comunicar.

Crimes de smishing podem resultar em diferentes preocupações de segurança e privacidade, incluindo roubo de identidade. Especialistas dizem que os efeitos do roubo de identidade podem durar vários anos, variando desde tempo perdido, dinheiro, dívida fiscal e crédito danificado até um registro criminal.

Uma abordagem proativa de cibersegurança pode prevenir ataques de smishing. Trate mensagens de texto suspeitas com cautela e equipe seu dispositivo com software de segurança que mitigue o risco de um ataque de phishing.

Relacionado: O que é mensagens RCS?