Smishing, uma combinação das palavras “SMS” e “phishing”, é um tipo de ataque cibernético que usa mensagens de texto para enganar indivíduos. Os invasores smishing enganam seus alvos para que compartilhem dados confidenciais, como credenciais ou informações financeiras, ou para que cliquem em links maliciosos. Essas ações são então aproveitadas pelo invasor para obter acesso não autorizado às redes, injetar malware ou ransomware ou outros tipos de atividades maliciosas.

Smishing é um tipo de phishing. Na maioria dos casos, os ataques de phishing ocorrer por e-mail. No entanto, o smishing aproveita o uso popular de telefones celulares e seus aplicativos de mensagens e realiza phishing por meio de mensagens móveis. As mensagens de texto também costumam ter uma alta taxa de abertura, o que também beneficia os invasores smishing. Por fim, os usuários percebem incorretamente seus celulares como seguros, tornando-os menos desconfiados de mensagens de texto que os levam a realizar diversas ações, o que aumenta a chance de um ataque bem-sucedido.

O que é Smishing?

Como funcionam os ataques de smishing?

Os ataques smishing exploram a confiança e as vulnerabilidades dos indivíduos para enganá-los através dos seus telemóveis. Veja como funcionam os ataques smishing:

  • Contato inicial – O atacante inicia o ataque smishing. Isto é feito enviando uma mensagem de texto para o dispositivo móvel do alvo. A mensagem muitas vezes parece vir de uma fonte confiável, como uma organização confiável ou um contato conhecido.
  • Conteúdo enganoso – A mensagem smishing contém conteúdo fraudulento projetado para chamar a atenção do destinatário e obter uma resposta. Isso pode incluir alertas urgentes, notificações de segurança, solicitações sinceras, ofertas de brindes, descontos, prêmios de loteria e muito mais.
  • Urgência e manipulação – O atacante cria um senso de urgência ou explora as emoções do alvo para provocar uma ação imediata. Eles poderiam alegar que a falta de ação rápida resultará em consequências negativas. Por exemplo, em suspensão de conta, problemas legais, perdas financeiras ou riscos para a saúde.
  • Solicitação de informações ou ações confidenciais – A mensagem smishing solicitará ao destinatário informações confidenciais. Por exemplo, senhas, detalhes de cartão de crédito ou números de Seguro Social. Ou pode instruir o alvo a clicar em um link malicioso ou baixar um anexo prejudicial.
  • Exploração e fraude – Caso o destinatário execute a ação solicitada, o invasor obtém acesso a informações confidenciais ou instala malware no dispositivo da vítima. Isto pode levar ao roubo de identidade, fraude financeira, acesso não autorizado, ou maior exploração dos contatos da vítima.

Exemplos de ataques de smishing 

Os golpes de smishing podem ser realizados sob diferentes pretextos falsos. Esses incluem:

  • Golpe de prêmio ou loteria – Mensagens que afirmam que o alvo ganhou um prêmio ou loteria e que informações pessoais ou pagamentos são necessários para reivindicar os ganhos.
  • Alertas de segurança falsos – Mensagens alegando atividades suspeitas foram registradas na conta do destinatário, instando-o a tomar medidas imediatas clicando em um link ou fornecendo credenciais de login. Isso pode incluir contas financeiras, contas de aplicativos e muito mais.
  • Códigos MFA – Mensagens que exigem que o alvo compartilhe seu código de verificação de MFA e depois faça login como usuário.
  • Informação fim – Mensagens contendo informações falsas sobre pedidos, como conformações, alegação de cancelamento do pedido e muito mais. Quando o destinatário clica no link, ele o direciona para um site falso que rouba credenciais de login.

Como identificar e proteger-se contra ataques Smishing

Vigilância e conscientização são fundamentais para se proteger de ataques smishing. Aqui estão algumas práticas para se exercitar:

1. Mantenha-se informado e treine-se

Mantenha-se atualizado sobre as mais recentes técnicas de smishing e táticas comuns usadas pelos invasores. Familiarize-se com sinais de alerta, como solicitações urgentes, mensagens não solicitadas ou mensagens de números desconhecidos.

2. Verifique o remetente

Tenha cuidado com mensagens de texto recebidas de números ou indivíduos desconhecidos ou desconhecidos. Embora nem todos os remetentes desconhecidos sejam indicativos de smishing, é uma boa prática ter cautela e verificar a identidade do remetente de forma independente. Contate a organização diretamente através de seu site oficial ou de um número de telefone verificado para confirmar a legitimidade da mensagem.

3. Procure erros ortográficos e gramaticais 

As mensagens smishing geralmente contêm erros ortográficos, gramaticais ou frases estranhas. Organizações confiáveis, como bancos, geralmente possuem padrões de comunicação. Linguagem suspeita em uma mensagem de texto pode ser um sinal de alerta.

4. Tenha cuidado com mensagens urgentes e não solicitadas 

Seja cético em relação a mensagens que exigem respostas imediatas ou que ameaçam consequências negativas em caso de não conformidade. A maioria das organizações legítimas não solicita informações desta forma.

5. Tenha cuidado com hiperlinks e solicitações de informações pessoais 

Evite clicar em links fornecidos em mensagens de texto, especialmente se parecerem suspeitos ou levarem a sites desconhecidos. Além disso, seja cético em relação a mensagens solicitando senhas, números de seguro social, detalhes de cartão de crédito ou qualquer outra informação pessoal.

6. Instale o software de segurança

Instale software de segurança em seu dispositivo móvel para detectar e bloquear tentativas de smishing. Esses aplicativos podem identificar e avisar sobre mensagens ou links potencialmente prejudiciais.

Evite ataques de phishing com LayerX

CamadaX é uma solução de segurança para navegador, entregue como uma extensão, desenvolvida especificamente para proteger aplicativos, dados e dispositivos contra todas e quaisquer ameaças e riscos transmitidos pela Web. LayerX oferece visibilidade granular da atividade web dos funcionários e do uso de SaaS, tanto em aplicativos sancionados quanto não sancionados. Tudo isso garantindo uma experiência de usuário excelente e sem interferir no fluxo de trabalho diário do usuário.

Para bloquear e prevenir phishing, o LayerX monitora as sessões do navegador na camada do aplicativo e fornece visibilidade dos eventos de navegação. Isso permite a análise de sessões e a aplicação de ações protetoras que neutralizam os aspectos maliciosos das páginas da web. A atividade maliciosa do site é bloqueada antes de interagir com o navegador. Além disso, o LayerX verifica o comportamento das páginas que foram acessadas por e-mail e permite o bloqueio de atividades maliciosas como phishing.