Smishing: ataques de phishing por SMS e como evitá-los

Ciber criminosos estão sempre em busca das suas informações pessoais. Após conseguirem suas informações, eles podem roubar sua identidade, gastar seu dinheiro e prejudicar seu crédito. Embora práticas antigas, como o dumpster diving, ainda sejam usadas para coletar informações confidenciais, os ciber criminosos estão adotando táticas mais avançadas. O phishing, prática de enviar e-mails fraudulentos fingindo ser uma empresa legítima para induzir indivíduos a revelar informações pessoais, está se tornando cada vez mais comum.

Um tipo de ataque de phishing que está sendo muito utilizado atualmente é o "smishing", ou phishing por SMS. O ataque de smishing usa as mesmas táticas do phishing por e-mail, aplicadas às mensagens de texto. Com o auxílio da engenharia social, o ciber criminoso pode convencer indivíduos a revelar informações confidenciais com ataques de smishing.

Existem vários indicadores de que uma mensagem de texto recebida pode ser um ataque de smishing, e há maneiras adequadas de evitar e responder a esses ataques. Com os conhecimentos certos, você pode se proteger contra o smishing e outros ataques de engenharia social.

O que é smishing?

Os tipos de ataques de phishing são batizados com nomes em inglês inspirados nos meios pelos quais o invasor tenta roubar suas informações. As estratégias para compor um e-mail de phishing, um vídeo de phishing (tática conhecida como vishing) e um texto de smishing são semelhantes, mas cada uma é adaptada para funcionar melhor no ambiente de destino. Embora todos eles usem táticas de engenharia social, como induzir o medo, os ciber criminosos usam ataques de phishing específicos, como smishing, para pessoas que julgam não ser tão suscetíveis a outras táticas.

Definição de smishing

Smishing é o ato de enviar SMSs fraudulentos projetados para induzir indivíduos a compartilhar dados confidenciais, como senhas, nomes de usuário e dados de cartão de crédito. Um ataque de smishing pode envolver um ciber criminoso fingindo ser seu banco ou serviço de entrega. O objetivo desses ataques é induzir você a revelar suas informações sem perceber que elas estão sendo roubadas. Os invasores conseguem esse resultado por meio de engenharia social.

Smishing e engenharia social

Como um típico ataque de engenharia social, o smishing geralmente explora o medo, o amor e o dinheiro, porque cada um desses elementos pode despertar respostas emocionais exacerbadas. Ao oferecer meios de realizar desejos ou ao explorar seus medos, um ataque de smishing pode fazer com que você revele informações confidenciais sem pensar nas consequências.

Ciber criminosos podem usar smishing para fazer vários ataques de uma só vez. A lógica dessa tática é que se forem enviadas cem mensagens de texto oferecendo um milhão de dólares ao destinatário sortudo que acessar o link incluído, um ou dois dos alvos poderão clicar. Com apoio da engenharia social, os ataques de smishing visam roubar suas informações sem que você perceba, até que seja tarde demais.

Como os ataques de smishing funcionam

A maioria das pessoas conhece os perigos de um ataque típico de phishing por e-mail. E-mails que pedem para você clicar em links tendem a levantar suspeitas. Ataques de phishing sofisticados tentam parecer legítimos para evitar essas suspeitas. O smishing segue o mesmo padrão, exceto pelo fato de que as pessoas tendem a ser menos críticas com SMSs e outras aplicações de mensagens.

Como os ataques de smishing começam e se espalham

O ataques de smishing começam quando ciber criminosos conseguem acesso ao seu número de telefone, o que é surpreendentemente simples considerando que a maioria dos telefones modernos tem mensagens de texto integradas. Isso pode ser feito como um ataque de smishing mais amplo, enviando uma mensagem genérica ao maior número possível de pessoas. Se um ciber criminoso tiver um alvo específico, ele usará o equivalente a um spear phishing ou um ataque de whaling. Para que esses ataques sejam eficazes, é preciso conhecer o destinatário da mensagem de texto ou seu grupo demográfico.

Os ataques de smishing começam primeiro conquistando sua confiança. Ao fingir ser uma organização ou empresa legítima, o invasor reduz o nível de ceticismo do alvo. Como os textos de smishing tendem a ser mais pessoais por natureza, o nível de suspeita já é menor do que nos e-mails, onde você pode receber mensagens de spam todos os dias.

Explorando emoções ou usando contextos comuns, como entregas de pacotes, os ciber criminosos usam a engenharia social para baixar a guarda do seu alvo. Essa falsa confiança nas aplicações de mensagens é a forma como os ataques de smishing se espalham silenciosamente. Como as pessoas costumam portar seus celulares o dia inteiro, o ciber criminoso pode abordar indivíduos em momentos de pressa, quando tornam-se ainda mais vulneráveis.

Por que os ataques de smishing são eficazes

Quando em um lapso de julgamento alguém digita a senha ou clica em um link malicioso, o ataque de smishing entra em ação. O link pode compartilhar as informações pessoais do smartphone utilizado ou até mesmo instalar um malware no dispositivo. Uma vez informada, a senha fica comprometida até ser alterada pelo usuário. Enquanto isso, o ciber criminoso usa esse acesso para assumir o controle de contas ou roubar mais informações.

Para que um ataque de smishing funcione, basta que um dos alvos tenha um lapso de julgamento e clique em um link malicioso ou forneça informações voluntariamente. Esse, somado ao fato de que os usuários tendem a confiar mais em SMSs do que em e-mails, é o motivo pelo qual os ciber criminosos estão apostando no smishing. Há alguns exemplos de ataques de smishing bem-sucedidos que podem ajudar você a saber o que procurar.

Tipos de ataques de smishing

Como os ataques de smishing usam táticas de engenharia social, eles se enquadram em quatro categorias principais. A primeira são mensagens falsas de marcas respeitáveis. As organizações são incentivadas a enviar mensagens quando novos produtos são lançados ou quando há promoções. Isso significa que receber mensagens de uma marca pode ser comum ou esperado. Fingir ser uma marca e oferecer um link de vendas é um tipo de ataque de smishing.

Outro tipo muito usado de ataque de smishing é a mensagem urgente. Elas podem parecer ser de um banco ou um órgão do governo. Independentemente de quem o ciber criminoso esteja fingindo ser, a mensagem incita o indivíduo a agir rapidamente, caso contrário algo ruim pode acontecer, ou algo bom pode deixar de acontecer. Relacionado ao tipo de smishing anterior, temos ainda a falsa notificação de prêmio. Algumas pessoas clicam em links por acreditar na falsa mensagem de que ganharam um prêmio e acabam tendo suas informações pessoais roubadas.

O quarto tipo de ataque de smishing é um link para uma falsa pesquisa. Esse tipo é menos comum, porque as pessoas têm menos probabilidade de participar de pesquisas não solicitadas. No entanto, com a falsa promessa de um incentivo atrativo, como vale-presente ou cash-back, esses ataques ainda podem ser eficazes.

Características das mensagens de smishing

Os quatro tipos de ataques de smishing têm características em comum que podem servir de alerta para identificar ciladas. Se você tiver cautela e mantiver a calma, vai ser capaz de identificar o ataque de smishing ao ler o SMS. Erros ortográficos e gramaticais são tão comuns em smishing quanto nos ataques de phishing.

Ataques de smishing geralmente são breves e incluem um link malicioso. Uma análise cuidadosa do link pode ajudar a identificar os problemas. Os ataques de smishing também exploram seu emocional. Se você entrar em pânico ou sentir que precisa agir imediatamente em resposta a um SMS, isso é um sinal claro de smishing.

Exemplos de golpes de smishing populares

O smishing pode ser usado contra funcionários de uma empresa para realizar ciber espionagem ou contra indivíduos para roubar identidades. Os ataques de smishing se enquadram em quatro categorias básicas e têm características comuns que podem ajudar você a identificá-los. Com a popularização do smishing, surgiram padrões de como os ciber criminosos aplicam esse golpe e quem fingem ser para ganhar sua confiança.

Alguns golpes de smishing são eficazes porque a organização que o ciber criminoso finge representar é amplamente utilizada ou conhecida. Esses ataques de smishing são mais eficazes porque são críveis. Alguns disfarces comuns usados nos ataques de smishing são:

• Serviços de entrega, como Correio, Sedex ou transportadoras conhecidas. Um SMS informando que seu pacote atrasou, se perdeu ou que precisa de confirmação, juntamente com um link, é atrativo para muitas pessoas. Se um alvo tiver algum pacote em trânsito da empresa forjada que deseja ou precisa receber, é bem provável que clique no link para garantir a entrega.
• Amazon. Embora também seja um serviço de entrega e suscetível da mesma forma, o ataque de smishing também pode visar a sessão de compras ou a senha da Amazon. Se um ciber criminoso se apoderar da sua senha, poderá encontrar informações armazenadas de cartão de crédito, endereços de correspondência, dentre outras informações privadas.
• Serviços financeiros como PayPal, Apple Pay e bancos. Como a perda de dinheiro e o comprometimento das credenciais bancárias são possibilidades assustadoras, esses ataques de smishing são eficazes porque as pessoas são induzidas a agir sem pensar. Se o PayPal ou sua instituição bancária informa que há um problema com sua conta, isso dispara um alarme na sua cabeça.

Como evitar o smishing

Evitar golpes de phishing, como o smishing, é a melhor maneira de prevenir danos a você ou à sua empresa. Como muitas pessoas usam seus smartphones pessoais no trabalho, o smishing também representa risco para suas credenciais de trabalho, além de toda a ameaça aos seus dados pessoais. Se você mantiver a calma e dedicar um tempo para investigar possíveis golpes de smishing, poderá evitá-los.

O primeiro passo para evitar um golpe de smishing é nunca responder a mensagens de texto nem ligar para o número associado. Isso pode fazer com que o fluxo de mensagens de spam na sua caixa de entrada aumente. O ciber criminoso pode vender seu número como um contato confirmado ou alterar a tática de smishing para tentar enganar você outra vez. Além disso, nunca clique em nenhum link em SMSs suspeito.

Você pode reservar um tempo para verificar o remetente do SMS suspeito. Faça isso pesquisando na web ou ligando diretamente para a empresa de onde teria vindo o SMS. Se o banco enviar um SMS dizendo que seu dinheiro está em risco, não responda; encontre e ligue para o número de atendimento do banco.

Como reagir ao smishing

Se você receber uma mensagem SMS que suspeite ser um golpe de smishing, denuncie à FTC (Comissão Federal de Comércio). Envie à organização o número e o nome informados no SMS, juntamente com a hora do dia em que recebeu e as informações solicitadas pelo ciber criminoso. É muito importante que você não responda ao SMS e nem clique em nenhum link fornecido.

Se você já foi vítima de smishing, primeiro denuncie o golpe à FTC, em seguida entre em contato com as organizações em que as informações roubadas possam ser utilizadas. Isso inclui alterar senhas e ligar para instituições financeiras a fim de alertar sobre possíveis atividades fraudulentas com suas credenciais. Ao reagir rapidamente, você pode evitar parte dos danos que um ciber criminoso poderia causar usando suas informações roubadas.

Proteja-se contra ataques de engenharia social

Ataques de engenharia social, como smishing, são projetados para explorar seu emocional, fazendo com que você revele informações privadas. Explorando seu medo ou desejo e se aproveitando da confiança intrínseca naturalmente atribuída a alguns serviços de mensagens, o ciber criminoso pode acabar roubando sua identidade.

Para se proteger contra ataques de engenharia social você precisa se manter vigilante e ter muito cuidado ao fornecer informações pessoais ou clicar em links. Ao adotar medidas preventivas, você pode proteger a si mesmo e à sua empresa contra ataques de smishing.

A CrowdStrike fornece informações e serviços para manter você informado e seguro contra ataques de engenharia social, bem como outras atividades de ciber crime. Saiba mais aqui.