O que é smishing? Um guia sobre ataques de phishing com SMS
Aprenda a entender, detectar e evitar ataques de smishing.
Ataques de phishing de SMS ou "smishing" estão cada vez mais comuns. Quanto mais você aprende sobre ataques de smishing, do que eles são capazes e quais são os possíveis riscos, será mais fácil identificar e evitar os danos desses ataques.
Neste guia simples, mostraremos o que é smishing, como detectá-lo e como evitar ser vítima de um ataque de smishing.
O que significa smishing?
Smishing (também chamado de Phishing com SMS) é quando um atacante envia uma mensagem falsa para seu número de SMS, frequentemente contendo uma oferta de um produto gratuito ou um alerta urgente sobre informações bancárias ou outras informações confidenciais.
O smishing é particularmente perigoso para aqueles que não têm compreensão de segurança cibernética básica, pois as mensagens SMS são redigidas de forma que sejam críveis. Algumas mensagens de smishing até mesmo incluem informações pessoais vagas para vender a narrativa.
Como os ataques de smishing funcionam?
Ataques de smishing são considerados ataques de engenharia social, pois são usados com manipulação psicológica. Na maioria dos casos, as mensagens de smishing são projetadas para criar um senso de urgência. As mensagens podem incluir frases com gatilhos ou palavras como "resolva agora" ou "sua conta correrá risco se você não clicar aqui" ou até mesmo "ações jurídicas serão tomadas caso você não tome uma atitude". Essas mensagens podem causar medo e possíveis ações.
Os criminosos cibernéticos conseguem os números de telefone em violações de dados na web. Ao inscrever-se em uma conta da web em um site de varejo, por exemplo, você concede seu e-mail, número de telefone e outras informações pessoais. Quando os criminosos cibernéticos invadem os registros da web desses varejos, os registros são muitas vezes distribuídos ou vendidos na dark web por dinheiro. Assim, suas informações pessoais são distribuídas.
Você também pode ter inserido seu número de telefone em um e-mail de phishing ou em algum outro site ilegítimo onde a companhia por trás deste site era, na verdade, um criminoso cibernético.
Muitas vezes, os criminosos cibernéticos usam métodos de extorsão nas vítimas de ataques de smishing com o intuito de conseguir mais informações pessoais ou até mesmo dinheiro, em alguns casos. Golpes de IRS são comuns e, muitas vezes, vítimas transferem milhares de dólares para criminosos cibernéticos sob a crença de que serão processados se não atenderem ao pedido.
Smishing vs. Vishing
Smishing e vishing são similares no sentido de que exigem o uso de um telefone para funcionarem, mas o vishing usa serviços de voz em vez de mensagens SMS. O vishing pode, algumas vezes, ser mais efetivo, pois você está falando com uma pessoa no outro lado da linha. O tom de uma conversa pode afetar drasticamente o resultado. Se você achar que será processado se não responder, será mais provável que entregue as informações que o atacante procura.
Como detectar ataques de smishing
Os ataques de smishing são comuns. Abaixo, estão alguns sinais a procurar.
- "Parabéns" Você ganhou!" Essa é uma mensagem de smishing comum que faz a vítima acreditar que ganhou um prêmio monetário. O link ou o número de telefone anexado normalmente pedirá primeiro informações pessoais.. Se você não participou de um concurso, provavelmente não ganhou nada.
- Texto enviado em um horário incomum. A maioria das empresas funciona entre 8h00 e 18h00. Portanto, se você está recebendo mensagens de uma organização "legítima" tarde da noite ou muito cedo pela manhã, fique atento.
- Mensagem bancária urgente. As chances são de que seu banco telefonará pessoalmente a você com quaisquer solicitações urgentes ou erros. Nesse caso, o banco normalmente verificará suas informações pelo telefone. Se você receber uma mensagem bancária urgente via SMS, telefone primeiro para o seu banco para verificá-la.
- Erros de grafia e gramática. Organizações legítimas contratam editores e redatores experientes. Verifique se há erros de grafia ou gramática na mensagem SMS para identificar um golpe.
- Use um VPN. VPNs são serviços legítimos que permitem que você mascare seu endereço IP e evite que olhos não amigáveis vejam sua verdadeira localização e sua atividade na internet, até mesmo em seu telefone. Isso pode ajudá-lo a identificar mensagens de "smishing", particularmente se receber uma que referencie um local incorreto que está sendo "spoofed" pela sua VPN. No entanto, alguns criminosos cibernéticos tiraram vantagem até mesmo da demanda por VPNs e enviam ofertas gratuitas ou com desconto de serviços de VPN via SMS.
Como evitar ser uma vítima de smishing
- Use um gerenciador de senhas como o Keeper para armazenar e gerenciar senhas de todas as suas contas de forma segura. Sempre ative proteções de 2FA ou AVF para evitar acessos não autorizados.
- Nunca telefone para o número associado com uma possível mensagem de spoofing. Se for de seu banco, telefone para o número do banco que você salvou para verificar a mensagem.
- Telefone para a empresa diretamente do site oficial se tiver dúvidas. Desconfie de sinais de golpe no site.
- Não clique em links de texto não solicitados. Se não está esperando uma mensagem, nunca clique em um link estranho.
- Denuncie tentativas de smishing via efraudprevention.net, a Receita Federal ou seu banco.