Smishing vs phishing — e como se manter seguro

Golpistas se tornaram bons no uso de mensagens SMS para obter informações de cartões bancários e senhas de bancos online.

Com o smishing de vento em polpa, os veículos de imprensa nos Estados Unidos, Itália e Brasil têm divulgado histórias alarmantes sobre novos golpes. A polícia alemã chegou a emitir um alerta oficial sobre uma dessas artimanhas.

O fenômeno arrecadou quantias volumosas, como evidenciado por sua popularidade de pesquisa. Mas e aí, o que é smishing?

Aumento da popularidade de pesquisa de "smishing" no Google nos últimos anos

Aumento da popularidade de pesquisa de “smishing” no Google nos últimos anos

O que é e como funciona o smishing?

Smishing é a propagação de phishing por meio de mensagens de texto (SMS), e não por e-mail; daí o termo: smishing = SMS + phishing. Algumas classificações incluem phishing sobre aplicativos de mensagens como parte do smishing, mas consideramos essa uma categoria separada e não a discutiremos aqui.

O objetivo, como em qualquer outra tentativa de phishing, é enganar os destinatários para que divulguem informações confidenciais, normalmente a senha de seu banco online ou informações de cartão do banco. Para fazer isso, os golpistas enviam mensagens de texto, geralmente sobre um problema inventado – um problema de entrega, fatura não paga ou conta bloqueada, por exemplo – que o destinatário deve resolver clicando em um link. Depois disso, as coisas podem acontecer de duas maneiras:

  • Cenário 1: a vítima é infectada com malware disfarçado como um aplicativo legítimo, mas cujo objetivo real é solicitar informações importantes;
  • Cenário 2: a vítima é levada a uma página web disfarçada de site legítimo, mas cujo objetivo real é solicitar informações importantes.

A escolha do cenário realmente depende da zona de conforto do golpista – malware ou sites falsos. Para a vítima o resultado é o mesmo de qualquer maneira. Golpes semelhantes resultaram no roubo de milhares de dólares, euros e libras. Por que o phishing de SMS se tornou tão popular recentemente e o que o torna mais perigoso do que o phishing típico?

O que torna o smishing mais perigoso do que o phishing típico

A maioria de nós já se acostumou mais ou menos com o phishing por e-mail, e as pessoas em geral sabem como reconhecê-lo e evitá-lo. As mensagens de texto são um canal mais inesperado para golpes, portanto, é menos provável que as pessoas pensem que uma mensagem curta representará um golpe.

Além disso, embora as pessoas confiem mais nas mensagens de texto, elas tendem a ser menos seguras do que o e-mail. Hoje em dia, todo serviço de e-mail decente tem um filtro de spam integrado inteligente. Os filtros não são perfeitos, mas os golpistas precisam continuar inventando novos movimentos para superá-los. Infelizmente, quando se trata de flexibilidade e precisão, os filtros de spam das operadoras de celular deixam a desejar.

As pessoas também costumam ler suas mensagens de texto enquanto se deslocam ou entre outras tarefas. Isso, combinado com uma expectativa reduzida de perigo dos SMSs, significa que eles tendem a olhar menos atentamente para as mensagens de texto, tornando um ataque mais provável de ter sucesso. Em outras palavras, quando as pessoas recebem uma mensagem, é provável que desconsiderem sua lista de verificação mental de sinais de alerta e simplesmente cliquem.

Por fim, as mensagens SMS exibem menos sinais que o ajudariam a reconhecer um golpe. Ao receber um e-mail, você pode olhar para o endereço do remetente, avaliar o design e o layout e considerar o quão plausível é a mensagem em geral – em resumo, você pode procurar sinais de alerta padrão.

Com textos, até mesmo mensagens legítimas se parecem muito, com mensagens curtas frequentemente empregando linguagem não-padrão e nenhum design digno de nota; e golpistas com as habilidades técnicas podem realmente falsificar as informações do remetente, substituindo o número real do remetente por um falso.

Como se proteger do smishing

Tal como acontece com o phishing tradicional, você tem fortes defesas contra o smishing.

  • Não clique em links ou compartilhe qualquer uma de suas informações em um tópico de texto. Como regra geral, quanto menos atividade, melhor;
  • Use a autenticação de dois fatores sempre que tiver a opção. Dessa forma, mesmo tendo uma senha roubada não ajudará os criminosos a invadir sua conta.
  • Entre em contato com seu banco imediatamente se suspeitar que criminosos conseguiram acesso à sua conta. O banco pode congelar seu cartão, alterar suas senhas e aconselhá-lo sobre as próximas etapas.

Algumas perguntas frequentes

Devo responder a mensagens fraudulentas apenas para que me removam de suas listas de mala direta?

Não faça isso. Responder simplesmente confirma que seu número de telefone está ativo. Cancelar a assinatura pode ser difícil, mesmo com empresas legítimas; não espere um acordo justo de pessoas que infringem a lei.

E se não for smishing, mas uma mensagem importante do meu banco?

Se você tiver alguma dúvida, entre em contato diretamente com o seu banco. É improvável que eles tenham enviado essa mensagem, mas por falar em entrar em contato com o banco, certifique-se de obter esse número de telefone de uma fonte oficial, como seu site. Faça o que fizer, não use quaisquer detalhes de contato do texto suspeito.

Existe uma maneira de filtrar automaticamente o phishing por meio de mensagens SMS?

Claro que existe! Muitas soluções de segurança há muito usam filtros integrados para capturar links suspeitos em mensagens de texto e aplicativos de mensagens, avisá-lo sobre eles e garantir que você não perca dinheiro só porque baixou a guarda por um momento. Por exemplo, você se beneficiará desses filtros no Kaspersky Internet Security para Android.

[KISA Generic banner]

Dicas