Smishing

Smishing é um tipo de ataque de cibersegurança que ocorre através de serviços de mensagens curtas (SMS) - mensagens de texto. Pode basear-se em engenharia social, anexos maliciosos e sítios Web fraudulentos para enganar as pessoas.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

O que é smishing? 

O termo "smishing" pode parecer disparatado, mas o significado de smishing é menos divertido do que parece. Um ataque smishing é um tipo deataque de phishing que utiliza mensagens de texto como vetor de ataque. Pode basear-se em engenharia social, anexos maliciosos e sítios Web fraudulentos para enganar as pessoas.

Um esquema de smishing pode ser fácil de executar, difícil de rastrear e perigoso em termos de impacto. Um ataque smishing bem sucedido pode potencialmente expor as suas palavras-passe, fotografias, vídeos e outros dados sensíveis a um burlão e também funcionar como um vetor de infeção para uma queda de malware no seu smartphone.

Cada um dos biliões de utilizadores de smartphones em todo o mundo é um potencial alvo smishing . Só nos Estados Unidos, a Federal Trade Commission registou quase 400 000 queixas de fraude sobre mensagens de texto indesejadas, incluindo ataques smishing em 2021. Os consumidores relataram uma perda de mais de US $ 80 milhões para os reguladores no mesmo ano.

Este guia ajudá-lo-á a evitar ataques smishing e a aprender a prevenir smishing. Continue a ler para obter informações mais pormenorizadas sobre o seguinte:

  • Definição de smishing : o que é um ataque smishing no domínio da cibersegurança?
  • Exemplos de Smishing
  • Smishing vs phishing
  • O que pode fazer no caso de um ataque smishing
  • Como se proteger do smishing

Definição e explicação de Smishing

Eis uma definição rápida de smishing : smishing é um tipo de ataque de cibersegurança que ocorre através de serviços de mensagens curtas (SMS), também conhecidos como mensagens de texto. Alguns especialistas podem também definir smishing como um ataque a qualquer tipo de mensagem de texto, e não apenas a sistemas nativos de mensagens de texto para telemóveis, como as mensagens em plataformas de redes sociais.

Uma forma mais simples de definir smishing é chamar-lhe uma mensagem de texto de phishing. Isto leva-nos à pergunta: o que é o phishing? Bem, phishing é quando um agente de ameaça se faz passar por uma entidade de confiança para enganar um alvo e levá-lo a cometer um erro de cibersegurança, como partilhar informações confidenciais, normalmente por correio eletrónico. Uma mensagem de texto de phishing, também conhecida como smishing, é phishing por texto.

O que é um ataque smishing ?

Um ataque smishing ocorre quando um agente de ameaça utiliza mensagens de texto maliciosas para violar a cibersegurança de um alvo. O objetivo de um ataque smishing é, normalmente, obter as seguintes informações confidenciais para roubo de identidade ou crimes financeiros:

  • Nomes
  • Endereços
  • Nomes de utilizador
  • Palavras-passe
  • Números de cartões de crédito
  • Códigos dos cartões de crédito
  • Dados bancários

Um ataque de texto de phishing também pode ser altamente direcionado. Quando um agente da ameaça sabe o número de telefone de uma vítima, pode conceber um ataque convincente. Por exemplo, se um burlão tiver como alvo o número de telemóvel de um executivo financeiro, pode lançar um ataque smishing que pareça ser de um potencial contacto comercial.

Pode ler em phishing vs spear phishing vs whaling para saber mais sobre os diferentes tipos de ataques de engenharia social que utilizam mensagens de texto como vetor de ameaça.

Como é que smishing funciona? 

Tal como o phishing, smishing leva-nos a acreditar que as mensagens falsas são legítimas para que possamos interagir com elas sem preocupações. Os ataques Smishing funcionam utilizando algumas ou todas as seguintes caraterísticas:

  • Contexto: Os textosSmishing utilizam o contexto para parecerem genuínos. Um texto smishing pode parecer que é do banco, do seu retalhista favorito ou do governo. Por exemplo, Os esquemas smishing com o tema do IRS que roubam informações pessoais e financeiras estão a aumentar porque utilizam o contexto de forma eficaz para ganhar a confiança da vítima.
  • Seleção do alvo: As vítimasSmishing podem ser selecionadas com base em dados demográficos e afiliações locais. Por exemplo, um grupo de extorsionários pode enviar mensagens de texto falsas de uma instituição financeira popular num determinado código de área para números locais. Em alternativa, podem enviar textos de phishing de uma universidade para os seus alunos depois de acederem aos números de telefone.
  • Engenharia social: Um ataque de engenharia social manipula as emoções de um alvo, tais como o medo, o amor, a luxúria, a ganância, a raiva ou a simpatia, para toldar o seu discernimento. Por exemplo, uma mensagem fraudulenta que parece ser de um ente querido pode fingir uma emergência para enganar a vítima e levá-la a enviar uma transferência de dinheiro.
  • Anexos maliciosos: Uma mensagem de texto de phishing pode conter um anexo malicioso que parece ser uma imagem, um vídeo ou um documento, mas que é um vírus, adware, spyware, Trojan ou ransomware.
  • Ligações maliciosas: Os ataquesSmishing utilizam frequentemente ligações maliciosas, malware ou sítios Web fraudulentos.

Smishing também funciona com base na simplicidade das mensagens de texto. Pode detetar um e-mail de phishing prestando atenção a erros gramaticais, erros ortográficos, problemas de formatação de imagens, endereços de e-mail estranhos e outras irregularidades. Mas as mensagens de texto são normalmente mais curtas e não contêm gráficos, como logótipos de empresas.

Por exemplo, um texto típico do seu banco pode ter algumas frases e incluir uma ligação a um retalhista ou a um sítio Web financeiro. Ao contrário de um e-mail oficial, este tipo de texto é fácil de falsificar.

Os piratas informáticos têm menos probabilidades de cometer erros gramaticais quando escrevem uma ou duas frases num ataque smishing . E não têm de se preocupar em replicar logótipos para fazer com que os textos de phishing pareçam autênticos. Podem também utilizar técnicas de falsificação do identificador de chamadas e telemóveis de gravação para encobrir o seu rasto.

Exemplos de Smishing : Diferentes tipos de ataques smishing 

  1. Ganhou um concurso ou um prémio e tem de o reclamar.
  2. Alguém lhe enviou um presente ou um cupão que precisa de ativar.
  3. A sua instituição financeira deve confirmar os seus dados.
  4. Uma transferência de dinheiro pendente para a sua conta requer a sua autorização.
  5. A compra cara que fez precisa de ser verificada.
  6. Foi detectado um vírus no seu telemóvel.
  7. A sua conta foi bloqueada devido a actividades suspeitas ou tentativas de início de sessão invulgares.

Smishing vs phishing: Qual é a diferença entre smishing e phishing? 

smishing

Smishing e phishing podem parecer semelhantes, mas não são exatamente a mesma coisa. Então, qual é a diferença entre phishing e smishing? A maior diferença na comparação entre smishing e phishing é que smishing utiliza o SMS como meio de ataque, enquanto o phishing é um termo abrangente para qualquer e-mail, site, mensagem de texto ou mensagem de voz que utiliza o engano para atacar um alvo. Por outras palavras, smishing ishing é um tipo de ataque de phishing que ocorre através de uma mensagem de texto. O objetivo de ambos os ataques é recolher as suas informações pessoais para actividades fraudulentas. Portanto, isto é o que ambos os métodos têm em comum.

O que fazer no caso de um ataque smishing 

Comunicar o ataque 

A primeira coisa que deve fazer é comunicar o ataque à autoridade competente com o máximo de pormenores possível. Por exemplo, se for alvo de um ataque smishing do IRS, envie um e-mail sobre o ataque para phishing@irs.gov com os seguintes detalhes:

  • Número de identificação do chamador de phishing.
  • Uma captura de ecrã do ataque.
  • Uma cópia da mensagem se não for possível capturar uma imagem do ecrã.
  • A data, a hora, o fuso horário e o número do destinatário.

Outras organizações também se viram obrigadas a reagir a estas burlas. Por exemplo, bancos e empresas de pagamento como o PayPal abriram canais de denúncia de phishing. Se utiliza o PayPal, saiba como reconhecer e-mails de phishing do PayPal para proteger a sua conta. 

Alterar todas as palavras-passe 

Se suspeitar que está a ser alvo de um ataque smishing , altere imediatamente todas as suas palavras-passe e PINs. A sua nova palavra-passe deve ser complexa e única. Pode ler o nosso guia para saber como criar uma palavra-passe forte.

Congelar o cartão 

Um agente de ameaça pode tentar utilizar o seu cartão de débito ou de crédito depois de obter acesso aos seus dados sensíveis. Sugerimos que, depois de alterar as suas palavras-passe, congele temporariamente todos os seus cartões para evitar fraudes financeiras. Pode congelar o seu cartão iniciando sessão na sua conta de cartão de crédito ou telefonando para a sua instituição financeira.

Além disso, informe a entidade emissora do seu cartão de crédito sobre o ataque smishing . Esta pode desativar o seu cartão e emitir um novo com um conjunto diferente de dígitos.

Monitorizar outras actividades 

Monitorize as suas contas para detetar os seguintes tipos de actividades suspeitas:

  • Transacções desconhecidas na sua conta bancária ou de cartão de crédito.
  • Locais de início de sessão invulgares para as suas contas.
  • As suas imagens, vídeos ou mensagens de texto sensíveis estão a vazar.
  • Amigos que recebem mensagens suspeitas de si.
  • Empréstimos contraídos em seu nome.
  • Inscrição em programas de ajuda financeira do governo

Mesmo que não note qualquer atividade suspeita imediata, mantenha-se atento às suas contas a longo prazo após um ataque smishing . Uma excelente forma de monitorizar as suas contas financeiras para detetar irregularidades é verificar os seus relatórios de crédito.

A lei federal permite-lhe aceder a umrelatório de crédito gratuito todos os anos de uma das principais agências de crédito. Isso equivale a três relatórios gratuitos por ano. E até dezembro de 2023, todas as pessoas nos Estados Unidos podem aceder a um relatório de crédito gratuito todas as semanas a partir das três agências.

Como parar as mensagens de smishing 

Depois de determinar que um texto é fraudulento, pode bloqueá-lo num telemóvel iOS ou Android . Num iPhone, vá à página de contactos e toque em Bloquear este chamador. Num telemóvel Android , vá à página de contactos e toque em Bloquear contacto.

Ambos os sistemas operativos também oferecem filtros que lhe permitem bloquear o spam e outros textos indesejados.

Como filtrar mensagens de texto no iPhone:

  1. Aceder a Definições.
  2. Toque em Mensagens.
  3. Deslize o botão junto a Filtrar remetentes desconhecidos.

Como filtrar mensagens de texto no Android:

  1. Ir para Mensagens.
  2. Toque nos três pontos para abrir as Definições.
  3. Toque em Bloquear números e mensagens.
  4. Ativar o identificador de chamadas e a proteção contra spam.

O seu operador de telemóvel pode também oferecer ferramentas smishing :

- Verizon

- AT&T

- T-Mobile

Como se proteger do smishing 

Os ataques Smishing podem ser complexos, tirando partido de uma linguagem alarmista, anexos maliciosos, ligações não seguras e sítios Web fraudulentos para violar a nossa cibersegurança. Para se proteger do smishing é necessário estar preparado em várias frentes.

Cuidado com as mensagens urgentes 

As mensagens de phishing podem parecer urgentes para o impedir de pensar claramente antes de reagir. A primeira coisa que deve fazer depois de receber uma mensagem urgente é respirar fundo. Avalie a situação antes de responder. É improvável que uma entidade legítima peça as suas informações sensíveis ou um pagamento através de uma mensagem de texto. Se tiver dúvidas, procure o número público da entidade no seu sítio Web oficial e ligue-lhe diretamente.

Confirmar números de telefone 

Verifique a identificação do autor da chamada. Procure o número por baixo do ID e pesquise-o online para ver se corresponde ao contexto da chamada.

Autenticação multi-fator 

Active a autenticação multi-fator (MFA) nas suas contas para as proteger de piratas informáticos que possam ter acesso às suas credenciais de início de sessão. A MFA obriga os utilizadores a autenticar a sua identidade de outra forma quando existe atividade suspeita durante uma tentativa de início de sessão.

Os ataques Smishing podem pedir-lhe que abra urgentemente uma ligação para tirar partido de uma grande oferta ou para pagar impostos ao IRS e evitar ser preso. Estas ligações podem conduzi-lo a sítios Web maliciosos que roubam os dados do seu cartão de crédito ou outras informações confidenciais. É melhor evitar clicar em qualquer hiperligação nas mensagens de texto. Em vez disso, verifique a origem da mensagem.

Não responda a números desconhecidos 

O rastreio de chamadas pode ajudá-lo a proteger-se de ataques smishing . Uma mensagem de um número desconhecido pode fazer parte de uma burla.

Evite guardar informações de cartões de crédito no seu telemóvel 

Evite guardar os dados do seu cartão de crédito no seu telemóvel sob a forma de formulários Web, ficheiros de texto ou mesmo capturas de ecrã. Um ataque smishing que instale um Trojan ou spyware no seu dispositivo pode facilmente roubar estas informações. Detecte ossinais de malware de um ataque deste tipo. Além disso, utilize umantivírus de transferência gratuita para analisar regularmente o seu sistema em busca de vírus, ransomware, spyware, adware e cavalos de Troia.

Contactar os bancos antes de efetuar qualquer pedido bancário 

Não é invulgar que os bancos lhe enviem mensagens de texto sobre compras recentes e limites de crédito. Mas é improvável que o seu banco solicite as suas informações sensíveis para uma transferência por SMS. Contacte sempre o seu banco para verificar qualquer pedido por texto ou correio eletrónico.

Evitar partilhar informações sobre a palavra-passe 

Nunca partilhe nomes de utilizador e palavras-passe em mensagens de texto, mesmo que confie na fonte. Os piratas informáticos podem encontrar estas informações na pasta de mensagens enviadas do seu dispositivo. 

Investir em soluções anti-malware 

Descarregue uma ferramenta de cibersegurança para o seu telemóvel para se proteger de diferentes tipos de ataques. Por exemplo,Malwarebytes Malwarebytes para Android protege os utilizadores de Android contra todo o tipo de malware. Também fornece links/sites maliciosos e proteção contra phishing aos utilizadores. Da mesma forma, Malwarebytes para iOS protege os utilizadores de iPhone e iPad contra malware, chamadas de spam, anúncios, sites fraudulentos e sites de phishing.

A ascensão do smishing 

Como já foi referido, há umaumento notável no phishing através de SMS. Smishing é um vetor de ataque fácil para os burlões utilizarem contra milhões de pessoas que dependem das mensagens de texto para comunicar.

Os crimes Smishing podem resultar em diferentes problemas de segurança e privacidade, incluindo o roubo de identidade. Os especialistas afirmam que os efeitos do roubo de identidade podem durar vários anos, desde a perda de tempo, dinheiro, dívidas fiscais e crédito danificado até um registo criminal.

Uma abordagem proactiva à cibersegurança pode evitar ataques smishing . Trate as mensagens de texto suspeitas com precaução e equipe o seu dispositivo com software de segurança que reduz o risco de um ataque de phishing.

Relacionadas: O que é o serviço de mensagens RCS?