Ataques cibernéticos que se manifestam através de mensagens de texto maliciosas estão causando estragos, resultando em perdas financeiras e de dados para indivíduos e organizações.
Criminosos virtuais exploram a predisposição dos usuários a confiarem em mensagens de texto, manipulando-os através do medo ou da empolgação para rapidamente comprometerem dados, muitas vezes sem que a vítima perceba o que está acontecendo.
Imagine a seguinte situação: você está revisando suas mensagens quando, de repente, recebe um SMS informando que você ganhou um grande prêmio. Parece ser bom demais para ser verdade, mas a mensagem é estranhamente convincente.
Você se sente tentado a clicar no link presente no texto. Ao fazer isso, descobre, para seu choque, que sua conta bancária foi esvaziada ou que sua identidade foi roubada, tudo por causa de uma mensagem aparentemente inofensiva.
Este é o mundo dos ataques de smishing, uma ameaça crescente que está pegando desprevenidos até mesmo os indivíduos mais experientes.
De fato, apenas nos primeiros seis meses de 2021, os ataques de smishing experimentaram um aumento de 700% em escala global.
Portanto, a necessidade de se proteger contra essas táticas de manipulação nunca foi tão urgente.
Neste artigo, vamos explorar o que são os ataques de smishing, os diferentes tipos que existem e como você pode se defender contra eles.
Vamos começar!
O que é Smishing?
Smishing, uma combinação das palavras “SMS” e “phishing”, é uma forma de ataque cibernético que visa a confiança, o medo e a excitação da vítima, além de sua conta bancária, através de mensagens de texto fraudulentas que se disfarçam como legítimas. Mas, na realidade, elas não são.
Essas mensagens de texto são projetadas para induzir as pessoas a clicarem em links maliciosos ou a compartilharem informações sigilosas.
O objetivo dos ataques de smishing é o roubo de informações pessoais, dinheiro ou até mesmo a identidade da vítima para atividades fraudulentas.
Nesse tipo de ataque cibernético, a vítima recebe um SMS informando que ganhou algum tipo de prêmio ou que precisa atualizar seus dados de conta com urgência. A mensagem pode conter um link malicioso. O texto irá incitar a vítima a clicar nesse link para dar o próximo passo, seja para resgatar o prêmio ou fazer modificações na sua conta.
Esteja atento, pois essas são táticas que os criminosos cibernéticos usam para enganar as pessoas e executar seus ataques.
Entre 2021 e 2022, um surpreendente 76% das organizações em todo o mundo foram alvo de algum tipo de ataque de smishing, conforme reportado pela Statista. Essa estatística alarmante destaca a natureza disseminada dessa ameaça.
A segurança começa com a precaução. Evite clicar em links ou divulgar seus dados pessoais, a menos que você tenha certeza da autenticidade da mensagem. Verifique quem enviou a mensagem e fique atento a erros ou solicitações incomuns. Lembre-se de que empresas idôneas, como bancos, não pedirão suas senhas ou informações confidenciais via mensagens de texto.
O Crescimento do Uso de Celulares e o Smishing: É Preocupante?
À medida que os dispositivos móveis se tornam mais essenciais no cotidiano, a probabilidade de ataques de smishing aumenta. Isso é, sem dúvida, uma grande preocupação para todos, seja você um indivíduo ou uma empresa.
Com o aumento do uso de celulares, os cibercriminosos encontraram uma oportunidade lucrativa para explorar informações e dinheiro. Em 2021, aproximadamente 87,8 bilhões de mensagens de spam foram enviadas para números de telefone apenas nos EUA. Isso levou as pessoas a perderem mais de US$ 10 bilhões no total.
Atualmente, os telefones se transformaram em ferramentas indispensáveis para atividades como operações bancárias e interação social. Contudo, essa dependência também expõe as pessoas a abordagens manipuladoras utilizadas por criminosos cibernéticos. Esses invasores enviam mensagens persuasivas que induzem as pessoas a agirem impulsivamente, sem pensar duas vezes.
As consequências do smishing podem ser devastadoras, resultando em contas bancárias esvaziadas e roubo de dados e identidades. Por essa razão, é fundamental entender que o smishing não é apenas um inconveniente, mas uma ameaça séria à sua segurança financeira e privacidade pessoal.
É compreensível que você não possa simplesmente deixar de usar seu telefone, pois ele se tornou indispensável tanto na vida pessoal quanto profissional. Mas você pode se manter informado e prudente. Ao estar ciente dos riscos e permanecer vigilante, você pode se proteger das garras traiçoeiras dos ataques de smishing.
Tipos de Ataques de Smishing
Estar informado sobre os diversos tipos de ataques de smishing lhe dá o conhecimento necessário para identificar e evitar ser vítima dessas táticas maliciosas.
Então, vamos analisar os diferentes tipos de ataques de smishing.
Phishing Smishing
Nesta forma clássica de smishing, você é induzido a clicar em links maliciosos que o redirecionam para sites falsos. Esses sites podem ser muito parecidos com os legítimos, como o site do seu banco. Nesses sites, você será solicitado a inserir seus dados confidenciais, que o invasor captura e usa para realizar um ataque.
Vishing Smishing
Esta é uma abordagem mais personalizada. Os golpistas utilizam chamadas de voz em conjunto com mensagens de texto. Eles podem deixar mensagens de voz ou enviar SMS avisando sobre contas comprometidas ou atividades fraudulentas, pedindo que você ligue para um número ou clique em um link. Ao fazer isso, eles extraem suas informações pessoais.
Prêmio Smishing
A ideia de ganhar algo de repente pode deixar qualquer um animado. Os cibercriminosos exploram isso enviando mensagens parabenizando-o por ter ganhado um prêmio. Mas, na verdade, você não se inscreveu em nenhum desses concursos.
Nesse tipo de ataque de smishing, o invasor pedirá seus dados pessoais ou uma “pequena taxa” para que você possa resgatar o prêmio. Depois disso, eles sumirão, levando seu dinheiro e dados.
Smishing Financeiro
Essas mensagens geralmente imitam instituições financeiras reais, alegando atividades suspeitas em sua conta que exigem sua atenção imediata. Assustado com a situação, você pode clicar no link fornecido e, sem saber, dar acesso à sua conta.
Smishing de Ação Urgente
Aproveitando-se do senso de urgência, essas mensagens alertam sobre uma situação que requer uma ação imediata. Seja para atualizar sua conta, confirmar uma compra ou verificar uma transação, essas mensagens visam fazê-lo agir rapidamente, sem pensar.
App Smishing
Os invasores podem enviar uma mensagem de texto alegando ser de uma loja de aplicativos popular, pedindo que você baixe uma atualização ou um novo aplicativo. No entanto, o link leva a um site falso, fazendo com que um malware seja baixado para seu dispositivo.
Amizade Smishing
Essa técnica particularmente enganosa envolve cibercriminosos se fazendo passar por amigos ou familiares. Eles podem pedir ajuda financeira ou informações confidenciais, explorando a confiança que você tem neles.
Viagens Smishing
Aproveitando-se do desejo de viajar, os golpistas podem enviar mensagens sobre ofertas de viagens exclusivas ou confirmações de reservas para viagens que você nunca planejou. Clicar nos links pode resultar em roubo de dados ou instalação de malware.
Smishing de Caridade
Os criminosos cibernéticos se aproveitam da sua boa vontade enviando mensagens em nome de falsas instituições de caridade durante um desastre ou necessidade. Eles solicitam doações, mas o dinheiro nunca chega a quem realmente precisa.
Smishing de Alerta de Segurança
Essas mensagens exploram preocupações sobre violações de segurança, afirmando que sua conta foi comprometida. Elas o incentivam a agir imediatamente ou compartilhar informações confidenciais, como senhas de uso único, com os invasores. Quando você faz isso, eles esvaziam suas contas bancárias ou obtêm acesso não autorizado para realizar um ataque completo.
Exemplos Reais de Ataques de Smishing e suas Consequências
Vamos analisar alguns exemplos reais desses ataques e suas terríveis consequências.
#1. O “Comprometimento da Conta Bancária”
Imagine receber um SMS de um número que parece ser o do seu banco, informando sobre atividades não autorizadas em sua conta. A mensagem pede urgentemente que você clique em um link para verificar seus dados.
Uma vítima desprevenida clica neste link e insere suas informações pessoais. Logo, os invasores obtêm acesso às suas contas bancárias. O resultado é uma conta bancária esvaziada e um turbilhão financeiro.
Caso: O Ataque de Smishing da Universidade Deakin é um incidente de smishing de grande repercussão na Universidade Deakin, na Austrália, que colocou em risco quase 47.000 identidades e dados de alunos atuais e antigos. A violação aconteceu após as credenciais de um único membro da equipe serem comprometidas, permitindo que uma pessoa não autorizada acessasse um serviço de mensagens SMS em massa usado pela universidade para se comunicar com os alunos.
#2. O Golpe do “Cartão de Presente Gratuito”
As vítimas recebem mensagens dizendo que ganharam um vale-presente ou prêmio. Tudo o que elas precisam fazer é fornecer seus dados pessoais ou pagar uma pequena taxa de envio para receber o prêmio ou vale-presente. Depois que o destinatário fornece as informações ou paga a taxa, o invasor desaparece, enganando a vítima e comprometendo suas informações pessoais.
Caso: A Falsificação de identidade de uma agência governamental é um exemplo real de um golpe de vale-presente. Pessoas receberam ligações de golpistas que alegavam ser de uma agência governamental, como a Administração da Seguridade Social.
Esse golpe teve um aumento significativo em 2021, com quase 40.000 consumidores relatando uma perda de US$ 148 milhões nos primeiros nove meses do ano, de acordo com a Federal Trade Commission (FTC). O valor médio perdido nesses golpes em 2018 foi de US$ 700, que subiu para US$ 1.000 em 2021. Idosos, especialmente aqueles com 50 anos ou mais, foram considerados mais suscetíveis a esses golpes.
#3. O Truque da “Atualização Falsa de Aplicativo”
Você pode receber um SMS pedindo que você atualize imediatamente um aplicativo popular. Seja cauteloso se isso acontecer.
O link fornecido no texto leva a um aplicativo falso infectado por malware. Se você instalar esse aplicativo malicioso, suas informações pessoais, incluindo dados bancários, podem ser roubadas. Além disso, seu dispositivo pode ser comprometido, permitindo que hackers o controlem. Como resultado, seu dispositivo pode ser invadido e seus dados podem ser roubados.
Caso: Em uma reportagem do ZDNet, descobriu-se um Ataque de malware Trojan para Android que se passava por uma atualização de sistema. Os usuários receberam uma mensagem pedindo que atualizassem seu sistema. No entanto, ao baixar e instalar essa “atualização”, ela agia como um trojan de acesso remoto, dando aos invasores controle total sobre o dispositivo da vítima.
Isso permitiu que eles capturassem uma variedade de dados, incluindo mensagens, fotos e até dados de GPS. O malware era sofisticado e até podia gravar chamadas telefônicas, tornando-o uma das cepas de malware para Android mais invasivas.
#4. A Ameaça do “IRS”
As pessoas receberam uma mensagem do Internal Revenue Service (IRS) insistindo no pagamento imediato de impostos atrasados ou um aviso de consequências legais. Com medo disso, as vítimas obedecem, compartilhando suas informações financeiras ou efetuando o pagamento solicitado. O resultado é uma perda financeira e uma identidade exposta.
Caso: Em setembro de 2022, o Internal Revenue Service (IRS) alertou sobre um aumento de Golpes de texto do IRS. Os textos fraudulentos geralmente atraíam as vítimas com alegações de alívio falso da COVID, créditos fiscais ou assistência na criação de uma conta online do IRS.
Um incidente notável envolveu um contribuinte que recebeu uma mensagem alegando que devia impostos atrasados e que precisava clicar em um link para quitar suas dívidas. Ao clicar, ele foi redirecionado para um site de phishing que tentou coletar seus dados pessoais e bancários.
#5. O Golpe da “Confirmação de Viagem”
As vítimas receberam um SMS que supostamente era uma confirmação de viagem para uma viagem que não haviam reservado. Curiosas, elas clicam no link para cancelar a reserva, baixando malware para seus dispositivos sem saber.
O malware pode roubar dados pessoais, credenciais de login e até mesmo registrar as teclas digitadas. Isso comprometeu a privacidade e causou possíveis perdas financeiras.
Caso: Mevonnie Ferguson, moradora de Kent, no Reino Unido, foi vítima de um golpe de reserva de voo. Ela foi enganada por um golpista que afirmava representar uma agência de viagens chamada Infinity Global Travel. Ele vendeu o que parecia ser uma passagem legítima da British Airways de Londres para Kingston, na Jamaica.
Depois de verificar a reserva no site da BA através do número de confirmação, ela parecia válida. No entanto, cerca de duas semanas após a compra e poucos dias antes de sua partida, a reserva desapareceu do site da BA. Ao entrar em contato com a companhia aérea, ela descobriu que não havia nenhum voo reservado em seu nome. O golpista havia explorado a diferença entre uma reserva “confirmada” e uma reserva com “bilhete”, fazendo parecer uma reserva válida quando, na realidade, era apenas uma retenção temporária.
#6. O “Golpe Romântico”
Fonte: Blockchain de cristal
Em alguns casos, os cibercriminosos constroem laços emocionais com as vítimas por meio de mensagens de texto, fingindo estar interessados em um relacionamento romântico. Depois de conseguirem estabelecer confiança, eles manipulam as vítimas para que compartilhem informações pessoais e financeiras. Isso pode causar angústia, decepção e ruína financeira.
Caso: Um criminoso cibernético se fez passar pelo General Paul Nakasone, diretor da Agência de Segurança Nacional e chefe do Comando Cibernético dos EUA, numa tentativa de atrair mulheres para um golpe romântico. O golpista iniciou conversas falsas por e-mail com mulheres em plataformas de mídia social, usando a identidade do general. Em um caso, o impostor alegou estar estacionado na Síria e inundou uma mulher com mensagens religiosas, pedindo que ela se comunicasse através do Google Hangouts.
Medidas Preventivas Contra Ataques de Smishing
As consequências dos ataques de smishing vão além do aspecto financeiro: eles podem destruir a confiança, comprometer a privacidade e deixar as vítimas marcadas emocionalmente.
Vamos analisar algumas formas eficazes de evitar que ataques de smishing aconteçam.
#1. Conscientização e Treinamento
No cenário digital interconectado atual, é vital que sua organização capacite sua força de trabalho com o conhecimento necessário para proteger informações confidenciais.
De acordo com um relatório da ID Agent, as empresas enfrentam um custo médio de US$ 15.000 devido a ataques de smishing. O impacto financeiro evidencia a urgência de educar sua equipe.
Para reforçar suas defesas contra ameaças cibernéticas sorrateiras, priorize o treinamento abrangente sobre smishing e promova a conscientização em toda a organização. Isso ajudará todos a estarem preparados para esses ataques maliciosos e a responder a eles de forma inteligente.
Além disso, participar de workshops regulares que fornecem informações sobre ataques de smishing permite que seus funcionários distingam entre mensagens legítimas e possíveis fraudes. Ao capacitá-los com a habilidade de identificar links suspeitos, pedidos urgentes ou solicitações inesperadas, sua equipe se torna uma barreira formidável contra essas tentativas maliciosas.
#2. Verificando a Identidade do Remetente
Praticar a vigilância é sua primeira linha de defesa em um mundo onde mensagens fraudulentas podem se misturar facilmente em sua caixa de entrada. Ao receber um texto pedindo ação imediata ou solicitando dados confidenciais, reserve um momento para analisar as credenciais do remetente.
Verifique o número ou endereço de e-mail do remetente, certificando-se de que esteja alinhado com os dados de contato oficiais da suposta instituição. Entidades legítimas não recorrerão a mensagens de texto para solicitar informações confidenciais.
Ao confirmar a identidade do remetente, você reduz significativamente a probabilidade de se tornar alvo de ataques de smishing.
#3. Cuidado com Mensagens de Texto
Estender sua abordagem cautelosa de e-mails para mensagens de texto é essencial para proteger seus ativos digitais. Os criminosos cibernéticos costumam aproveitar a praticidade e familiaridade das mensagens de texto para manipular seus alvos.
Portanto, aborde cada mensagem de texto com cautela, da mesma forma que faria com e-mails de pessoas que você não conhece. Evite clicar imediatamente em links ou baixar conteúdo se o remetente não for familiar. Examine as mensagens para ver se elas parecem estranhas ou pedem coisas inesperadas.
#4. Protegendo Dispositivos Móveis
Nesta era digital, onde nossos dispositivos móveis armazenam uma grande quantidade de informações pessoais e confidenciais, é crucial priorizar sua segurança.
Uma boa medida para combater ataques de smishing é implementar recursos de segurança avançados, como bloqueios biométricos que utilizam impressões digitais, reconhecimento facial, etc.
Para garantir a segurança ideal, é crucial manter-se atualizado com os patches e atualizações de segurança mais recentes. Ao atualizar regularmente seus dispositivos móveis, você cria uma defesa forte contra possíveis ameaças cibernéticas. Essa medida proativa protege você contra vulnerabilidades que indivíduos mal-intencionados podem explorar. Além disso, invista em dispositivos de segurança para estabelecer uma barreira robusta contra ameaças de smishing.
#5. Utilize a Autenticação Multifatorial
Para fortalecer seus dados digitais, a implementação da autenticação multifatorial (MFA) é uma estratégia eficaz. Além da segurança baseada em senha, a MFA exige uma camada extra de verificação. Isso normalmente envolve um código enviado para outro dispositivo ou uma leitura de impressão digital.
Ao incorporar essa intrincada estrutura de segurança, você pode aumentar a dificuldade para possíveis invasores que tentam invadir suas contas. Ela funcionará como um escudo protetor para protegê-lo de tentativas enganosas.
#6. Use Senhas Fortes
Seu celular, computadores e outros dispositivos armazenam muitas de suas informações privadas. Uma maneira simples, mas eficaz, de manter seus dados seguros é usar uma senha forte para cada dispositivo.
Crie uma senha forte que combine letras, números, símbolos e letras maiúsculas e minúsculas. Isso torna mais difícil para os hackers adivinhar sua senha. Isso ajuda a impedir possíveis invasores de smishing e reforça sua segurança digital geral.
#7. Denuncie Ataques de Smishing
Como indivíduo informado e responsável, seu papel na luta contra os cibercriminosos é vital. Ao denunciar incidentes às autoridades competentes, você contribui para auxiliar a polícia e outros a capturar os criminosos responsáveis por esses ataques.
Além disso, é fundamental conscientizar seus amigos, familiares e colegas sobre esses incidentes. Agindo coletivamente, podemos evitar a distribuição de mensagens maliciosas e garantir maior segurança para todos.
#8. Use Aplicativos de Mensagens Criptografadas
Se você precisa compartilhar informações sigilosas, utilizar aplicativos de mensagens criptografadas é uma decisão inteligente. Esses aplicativos empregam técnicas avançadas para transformar suas mensagens em uma linguagem codificada que somente o destinatário pretendido pode entender. Isso protege suas mensagens.
Esteja você falando sobre uma transação financeira ou seus dados pessoais, os aplicativos de mensagens criptografadas adicionam um nível extra de privacidade. Isso permitirá que apenas a pessoa certa desbloqueie e leia a mensagem. Além disso, incentivar seus amigos e familiares a usar esses aplicativos ajuda todos a ficarem mais seguros ao conversar online.
Palavras Finais
Os golpistas usam mensagens de texto como forma de enganar as pessoas, fazendo com que divulguem informações pessoais ou cliquem em links perigosos. É por isso que permanecer vigilante contra ataques de smishing é fundamental hoje em dia.
Para criar uma defesa forte, treine sua equipe, verifique os detalhes do remetente, tome cuidado com mensagens de texto, proteja seus dispositivos e implemente medidas de segurança fortes, como autenticação multifatorial e senhas complexas.
Além disso, denuncie textos suspeitos e use aplicativos de mensagens criptografadas para aumentar a segurança. Seus esforços podem fazer uma diferença significativa, contribuindo para um mundo digital mais seguro para todos.
A seguir, confira golpes comuns no WhatsApp e como se preparar para eles.