O que é smishing (phishing por SMS)?

Como funcionam os ataques de smishing?

Como todas as formas de phishing, os ataques de smishing bem-sucedidos fazem duas coisas: ganham a confiança da vítima e então exploram isso para fraudá-la, obtendo informações privadas ou dinheiro. Então, como os golpistas fazem isso?

Primeiro, vamos analisar os vetores de ataque. O smishing, também chamado de phishing por SMS, não precisa ser feito por meio de uma mensagem de texto do Serviço de Mensagens Curtas, ou mesmo necessariamente em um dispositivo móvel. Ele também pode aparecer em aplicativos de mensagens, fóruns ou plataformas de redes sociais, como Facebook, X (Twitter) ou Reddit.

Os remetentes geralmente se apresentam como entidades que suas vítimas “conhecem” de alguma forma; instituições financeiras, varejistas, superiores hierárquicos e agências de serviço público são exemplos comuns. Isso faz com que as vítimas baixem a guarda e não pensem criticamente sobre o que os agressores estão pedindo que elas façam.

Mensagens de smishing eficazes convencem as vítimas a tomar medidas imediatas. Normalmente, elas apresentam à vítima um resultado negativo a ser evitado (encerramento de conta, uma taxa, ação disciplinar, etc.) ou um resultado positivo a ser reivindicado (uma recompensa, uma entrega, etc.). Em ambos os casos, a mensagem solicita algo, como informações privilegiadas ou um pagamento. Se a fraude funcionar, o agressor foge com seu prêmio.

Recentemente, “kits de phishing” pré-embalados e ferramentas de IA generativa tornaram mais fácil para os criminosos lançar ataques rapidamente.

Por que criminosos realizam golpes de smishing?

A maioria dos golpes de smishing, como outros golpes de phishing, tem motivação financeira. Os criminosos cibernéticos podem ir diretamente atrás de informações financeiras para roubar o dinheiro das vítimas, ou podem buscar informações para vender no mercado negro, como dados pessoais valiosos ou propriedade intelectual corporativa. Com menos frequência, algumas campanhas de smishing tentam enganar as vítimas para que baixem malware.

Os ataques de smishing também se beneficiam da falta geral de treinamento, educação e conscientização entre os alvos, especialmente em relação ao phishing baseado em e-mail. Além disso, muito menos soluções de segurança são projetadas para detectar ou bloquear spam de smishing. Para completar, muitos serviços de voz sobre IP (VoIP) tornam extremamente fácil abusar do identificador de chamadas para exibir números ou nomes específicos.

É também fácil atingir um público amplo com smishing, o que o torna uma forte aposta para possíveis criminosos cibernéticos. Com mais de 4,6 bilhões de usuários de smartphones em 2023 e projeções de mais de 5 bilhões até 2027 (Statista), há praticamente um número ilimitado de possíveis vítimas.

Tipos de ataques de smishing

Uma razão pela qual o smishing e outros tipos de ataques de phishing são tão insidiosos é que há muitas maneiras de estruturar um ataque de smishing. Vamos dar uma olhada em algumas abordagens e estruturas comuns dos smishers.

• Golpes de prêmios e pacotes exploram a empolgação das vítimas sobre algo que elas são levadas a acreditar que ganharam (um vale-presente, dinheiro de loteria, etc.) ou um item esperando para ser entregue. Os invasores geralmente se passam por uma grande empresa de varejo ou de entrega de pacotes, como Amazon, Costco, FedEx ou UPS, e solicitam correção de endereço, informações de cartão de crédito, taxa de envio ou algo semelhante. Normalmente, eles direcionam as vítimas para um link malicioso criado para ajudar a roubar essas informações.
• Golpes bancários e financeiros aproveitam a sensibilidade financeira para provocar reações fortes e rápidas. Os invasores se passam por uma empresa bancária (ou, para aumentar o elemento de medo, uma organização como a Receita Federal) e informam a vítima sobre um problema na conta bancária, reembolso pendente, pagamento em atraso, investigação ou algo semelhante como pretexto para roubar credenciais de login, números de previdência social, números de cartão de crédito ou outras informações bancárias.
• Golpes de investimento como o popular esquema de “abate de porcos” manipulam as vítimas (os “porcos”) para que invistam em criptomoedas, geralmente prometendo altos retornos. Os golpistas incentivam as vítimas a criar contas em plataformas falsas de negociação de criptomoedas ou financeiras, geralmente oferecendo retornos iniciais para promover uma falsa sensação de legitimidade. Depois que o golpista obtém acesso não autorizado à conta da vítima, ele realiza transações fraudulentas, “abatendo” todos os fundos da conta.
• Golpes de verificação de conta e senha induzem as vítimas a comprometer suas contas, muitas vezes, paradoxalmente, fazendo-as pensar que suas contas foram comprometidas. Isso pode ser feito em conjunto com a falsificação de URL para criar portais de login falsos convincentes. Em alguns ataques complexos de roubo de contas, os hackers podem solicitar respostas a perguntas de segurança ou códigos de autenticação multifator (MFA), permitindo que eles contornem medidas adicionais de segurança cibernética.
• Golpes oportunistas e atuais aproveitam os medos, as esperanças ou o senso de responsabilidade social das vítimas em relação a eventos ou tendências atuais para fraudá-las em dinheiro e/ou detalhes pessoais. Exemplos comuns nos últimos anos incluem fraude em agendamento de vacinas contra a covid-19; instituições de caridade falsas relacionadas a guerras e desastres naturais; golpes econômicos relacionados a empréstimos estudantis, impostos, pagamentos de estímulo, oportunidades de emprego; e muito mais.

Exemplos de golpes de smishing

Agora, vamos dar uma olhada em alguns exemplos de tentativas reais de smishing, bem como alguns sinais de alerta nesses ataques que podem ajudar você a identificá-los como ataques cibernéticos.

Exemplo 1: smishing de encomenda do USPS

Essa mensagem está cheia de sinais de alerta que a tornam fácil de ser identificada como smishing. Observe a falta de detalhes específicos, como um nome ou um local de “armazém”, o espaçamento incomum e o estranho “7cng.vip” no URL fornecido. 

Além disso, de acordo com o Serviço de Inspeção Postal dos Estados Unidos: “O USPS não enviará mensagens de texto ou e-mails aos clientes sem que o cliente primeiro solicite o serviço com um número de rastreamento, e NÃO conterá um link”.

Exemplo 2: smishing de pesquisa da Costco

Esse texto com smishing é um pouco mais difícil de identificar, mas ainda tem muitos sinais reveladores. Primeiro, a Costco Wholesale Corporation não se refere a si mesma como “CostcoUSA”. Assim como a mensagem falsa do USPS, o texto é um pouco artificial e forçado. O sinal mais revelador de smishing é o URL, já que as comunicações legítimas da Costco sempre vêm de um domínio da Costco.

Os smishers podem ser extremamente espertos, mas se você souber o que procurar, geralmente há maneiras sutis e não tão sutis de identificar suas tentativas.

Como se defender contra ataques de smishing

É difícil evitar completamente o smishing, mas felizmente há muitas maneiras eficazes de se defender dele antes que ele possa causar algum dano:

• Simplesmente ignore: se você receber uma mensagem de smishing, tudo o que você precisa fazer é ignorá-la. Depois de determinar que uma mensagem recebida não é legítima, você pode simplesmente excluí-la sem mais consequências. O smishing não funciona se a vítima não morder a isca.
• Pense criticamente: uma das melhores maneiras de identificar uma tentativa de smishing é parar e pensar, exatamente o que os invasores esperam que as vítimas não façam. Se você receber uma mensagem de texto suspeita, pare e considere as circunstâncias. Você esperava receber notícias do suposto remetente? O remetente se identificou claramente? A solicitação é razoável?
• Procure por sinais de alerta: analise os detalhes. A mensagem veio de um número de telefone suspeitosamente parecido com o seu? Se for assim, isso pode indicar “falsificação de vizinhos”. Ela contém endereços de e-mail ou links? Certifique-se de que eles correspondem às informações de contato reais ou aos canais oficiais que você espera do remetente. Há detalhes vagos ou erros? A maioria das mensagens comerciais legítimas são verificadas cuidadosamente em busca de erros.
• Verifique primeiro: se você ainda não tiver certeza se uma mensagem é legítima ou não, você pode verificar com o remetente separadamente, acessando um canal oficial. Por exemplo, você pode procurar um número de atendimento ao cliente ou conversar com um representante no site do seu banco.
• Bloqueie e/ou denuncie: você pode reduzir seu próprio risco, bem como diminuir a probabilidade de outras pessoas serem vítimas de smishing, bloqueando e denunciando tentativas de smishing. A maioria dos aplicativos de mensagens privadas, bem como os sistemas operacionais Apple iOS e Android, têm funções integradas de bloqueio e denúncia que também ajudam a sinalizar mensagens suspeitas quando outros usuários as recebem.

O que fazer se você for vítima de smishing

Se você perceber, ou mesmo suspeitar fortemente, que foi vítima de smishing, você ainda pode agir para limitar o dano de um ataque bem-sucedido.

1. Relate o ataque às autoridades competentes. A maioria dos bancos tem estruturas robustas de gerenciamento de fraudes em vigor, e eles podem até mesmo ajudar você a recuperar fundos perdidos. No caso de fraude mais séria ou roubo de identidade, você pode considerar registrar um boletim de ocorrência ou entrar em contato com uma agência governamental, como o Federal Bureau of Investigation (FBI) ou a Federal Trade Commission (FTC).
2. Atualize credenciais comprometidas. Se um invasor tiver os detalhes da sua conta, não há como saber quando ele os usará. Altere imediatamente as senhas, PINs e similares afetados. Se você receber um e-mail legítimo confirmando uma alteração de senha que você não solicitou, entre em contato com o remetente imediatamente.
3. Fique atento a atividades maliciosas. Depois de realizar as ações acima, observe se há indícios de novos comprometimentos nas áreas afetadas. Você pode solicitar que alertas de fraude sejam colocados em muitas contas para ajudar a identificar atividades suspeitas.

Proteção contra ataques de smishing da Zscaler

Como depende da exploração da natureza humana para ter sucesso, o comprometimento do usuário é um dos desafios de segurança mais difíceis de superar. Para detectar violações ativas e minimizar os danos que violações bem-sucedidas podem causar, você precisa implementar controles eficazes de prevenção de phishing como parte de uma estratégia zero trust mais ampla.

A plataforma Zscaler Zero Trust Exchange™, construída em uma arquitetura zero trust holística para minimizar a superfície de ataque, evitar o comprometimento, eliminar a movimentação lateral e interromper a perda de dados, protege contra ataques de smishing e outras ameaças cibernéticas ao:

• Prevenir o comprometimento: recursos como inspeção de TLS/SSL completa, isolamento de navegador, filtragem de URL e detecção de sites de phishing (incluindo links em SMS e em dispositivos móveis), controle de acesso baseado em políticas e inteligência sobre ameaças em tempo real protegem os usuários de sites maliciosos.
• Eliminar a movimentação lateral: uma vez na sua rede, os invasores podem se espalhar, causando ainda mais danos. Com a Zero Trust Exchange, os usuários se conectam diretamente aos aplicativos, não à sua rede, limitando o raio de ação de um ataque. Iscas de deception ajudam a enganar os invasores e detectar a movimentação lateral. 
• Interromper ameaças internas: nossa arquitetura de proxy na nuvem interrompe tentativas de exploração de aplicativos privados com inspeção completa em linha e detecta até mesmo as técnicas de ataque mais sofisticadas com táticas avançadas de deception.
• Impedir a perda de dados: a Zero Trust Exchange inspeciona os dados em trânsito e em repouso para evitar o possível roubo de dados por um invasor ativo.