'Smishing': o que se deve saber com conselhos da Iberdrola
Segurança digital: entendendo o 'smishing' com a Iberdrola
Internet Digital Ciberseguranca
Os golpes pelo celular têm sido cada vez mais frequentes e os métodos usados para aplicá-los estão se tornando cada vez mais complexos. Smishing é uma técnica de fraude através de mensagens de texto (SMS). Descubra no que consiste, quais tipos existem e como evitar ser vítima desse golpe.
Os criminosos cibernéticos de 'smishing' usam histórias falsas para ganhar a confiança das vítimas e obter seus dados privados.
O smishing pode entrar de diferentes maneiras em seu celular. Uma mensagem de texto de um banco avisando que vão bloquear sua conta, uma empresa de correio solicitando um pagamento para receber um pacote, ou uma mensagem de WhatsApp de um suposto parente que perdeu a bagagem em um aeroporto e precisa de dinheiro para poder viajar.
Esses golpes cibernéticos têm sido cada vez mais comuns. Embora as motivações sejam as mesmas, eles variam em forma e complexidade na tentativa de capturar a atenção e a confiança dos usuários-alvo. Mas no que consiste e como os criminosos cibernéticos realizam o smishing? Podemos evitar ser vítimas?
O que é smishing?
O termo smishing vem da combinação das palavras "SMS" e "phishing" (falsificação de identidade) e consiste em uma engenharia social para cometer fraudes por meio de mensagens de texto. Esse golpe é um tipo de phishing e é semelhante a outras modalidades de fraude, como o vishing, que se baseia em uma chamada telefônica. É uma das estratégias favoritas dos criminosos virtuais para tentar obter acesso a informações confidenciais ou roubar dinheiro.
Os criminosos por trás desses ataques cibernéticos se fazem passar por órgãos oficiais, empresas e organizações. Às vezes, eles até mesmo fingem ser familiares ou amigos para cometer smishing com base em um certo grau de confiança por parte do usuário. Esses golpes podem ser realizados por SMS, embora o WhatsApp esteja sendo cada vez mais usado.
Quem comete esse delito pede à vítima que acesse um link em um site falso ou forneça dados confidenciais como usuários, senhas, número de telefone, e-mail, número da previdência social ou detalhes de cartão de crédito, por exemplo. Às vezes, eles solicitam que o usuário faça uma transferência bancária com uma alegação falsa ou o induzem a baixar um anexo que infecta seu dispositivo com malware.
Exemplos de smishing
Como em outros casos de engenharia social, os ataques de smishing são baseados em desculpas ou pretextos. Os criminosos cibernéticos usam histórias falsas para ganhar a confiança e manipular as emoções das vítimas, a ponto de induzi-las a passar seus dados privados. Aqui estão alguns dos tipos mais comuns de ataques de smishing:
Instituição financeira.
Os fraudadores se fazem passar por um porta-voz, representante ou funcionário do banco da vítima para alertá-la de que há um problema com sua conta. Para resolver o problema, os invasores lhe pedem que siga um link ou acesse um aplicativo ou site falso, no qual ela deve fornecer informações financeiras confidenciais: senhas, números de conta bancária ou de cartão de crédito. Com esses dados, eles podem fazer compras ou transferir dinheiro para outras contas.
Representante da Administração Pública.
Os criminosos se fazem passar por policiais, funcionários de instituições de cobrança de impostos ou outros funcionários do governo. As mensagens de smishing informam à vítima que ela deve pagar uma multa ou tomar medidas para reivindicar um benefício do Estado. Quando os usuários seguem os links para os quais são redirecionados, os fraudadores roubam o número da previdência social e outras informações que podem ser usadas para se passar por eles.
Suporte ao cliente.
Os cibercriminosos se fazem passar por agentes de suporte ou atendimento ao cliente de marcas conhecidas ou até mesmo de provedores de Internet. Eles informam à vítima que há um problema com sua conta ou que ela não solicitou nenhuma compensação ou reembolso. Novamente, essas mensagens encaminham a vítima para um site falso que rouba as informações de seu cartão de crédito ou de sua conta bancária.
Correios.
Esse tipo de smishing é um dos mais comuns. As mensagens relatam um suposto problema com a entrega de uma encomenda. A vítima é solicitada a pagar uma quantia em dinheiro como taxa de entrega ou a fazer login em sua conta para resolver o problema. Os golpistas roubam o dinheiro ou as informações privadas e desaparecem. Os ataques sob o pretexto de entrega de encomendas são comuns durante os períodos de férias ou Natal, quando muitas pessoas estão esperando encomendas.
Contexto de trabalho.
Os hackers se fazem passar pelo chefe da vítima ou por um colega da empresa e alegam que precisam de ajuda com uma tarefa urgente. Nesse caso, eles usam mensagens SMS ou de WhatsApp, embora isso também ocorra por meio de outros canais, como e-mail. A vítima pode acabar enviando dinheiro ou informações privadas.
Número errado.
O cibercriminoso finge enviar uma mensagem de texto para o número errado. Quando a vítima corrige o erro, o golpista entra em uma conversa para ganhar a confiança da vítima. Às vezes, essa situação continua a longo prazo, por meses ou até anos. O agressor pode até fingir que tem sentimentos românticos pela vítima. O objetivo é, mais uma vez, roubar dinheiro da vítima por meio de empréstimos ou oportunidades de investimento, entre outros.
Redes sociais.
O criminoso finge ser um amigo da vítima e diz a ela que não pode acessar suas contas de redes sociais, como Instagram ou Facebook. Para resolver isso, ele afirma que precisa que o usuário receba um código em seu nome. Quando a vítima abre o código, ela permite que o hacker acesse sua própria conta.
Download de aplicativos falsos.
Alguns golpes de smishing induzem as vítimas a fazer o download de aplicativos falsos que, na verdade, são malware ou ransomware. Esses aplicativos podem parecer com os originais, mas, na realidade, permitem que os dados confidenciais do usuário sejam roubados.
O que devo fazer se for vítima de smishing?
Todos os usuários correm o risco de serem vítimas de smishing. Se você acha que pode ter caído nesse tipo de golpe, é importante agir o mais rápido possível por meio de uma série de medidas:
-
Identifique quais informações você colocou em risco com esse golpe.
-
Faça uma varredura em seu celular com um antivírus para verificar se há sinais de invasão.
-
Remova do seu dispositivo qualquer conteúdo que tenha sido baixado de links ou anexos.
-
Altere as senhas de todas as contas que possam ter sido afetadas.
-
Ative a verificação em duas etapas para evitar o acesso à conta e o roubo de identidade.
-
Bloqueie seu cartão bancário se achar que ele pode ter sido acessado e cancele quaisquer pagamentos não autorizados que tenham sido feitos.
-
Entre em contato com a empresa/instituição falsa ou com sua instituição bancária
-
Reúna o máximo de provas possível e informe o incidente às autoridades responsáveis pela Segurança Pública.
Fonte: The Cyber Helpine
VER INFOGRÁFICO: O que devo fazer se for vítima de smishing? [PDF]
Dicas para evitar ser vítima de smishing
Qualquer pessoa ou organização, pública ou privada, está suscetível a esse tipo de ataque cibernético. O mais importante é não responder ou ignorar qualquer mensagem que solicite informações pessoais ou financeiras. Veja a seguir algumas medidas para evitar ser enganado por mensagens de texto:
- A melhor recomendação é nunca fornecer informações pessoais ou bancárias por celular.
- Devemos desconfiar de remetentes desconhecidos ou até mesmo bloquear números de telefone que achamos que podem ser uma ameaça.
- O ideal é verificar a identidade da pessoa que está enviando a mensagem. No caso de uma empresa com a qual contratamos determinados serviços, podemos solicitar informações e depois entrar em contato com a empresa para verificá-las.
- Não devemos clicar em links anexados ou acessar qualquer aplicativo ou página desconhecida para fazer pagamentos.
- É importante manter o sistema operacional e os aplicativos atualizados para garantir que os padrões mínimos de segurança estejam em vigor.
- Devemos armazenar senhas e informações bancárias por meio de criptografia.
- Por último, vale lembrar que entidades como bancos ou grandes empresas nunca ligam para pedir dados confidenciais, como números de contas ou senhas de acesso a serviços bancários on-line.