O que é smishing (phishing por SMS)?

O smishing é uma forma de cibercrime cada vez mais popular. De acordo com o relatório State of the Phish de 2024 da Proofpoint, 75% das organizações sofreram ataques de smishing em 2023.¹

Vários fatores contribuíram para o aumento nos casos de smishing. Por um lado, os hackers que perpetram esses ataques, às vezes chamados de “smishers”, sabem que as vítimas têm mais probabilidade de clicar em mensagens de texto do que em outros links. Ao mesmo tempo, os avanços nos filtros de spam dificultaram outras formas de phishing, como e-mails e chamadas telefônicas, para alcançar seus objetivos. 

O aumento do bring your own device (BYOD) e das modalidades de trabalho remoto também levou mais pessoas a usarem seus dispositivos móveis no trabalho, facilitando o acesso de cibercriminosos às redes da empresa por meio dos celulares dos funcionários.

Os ataques de smishing são semelhantes a outros tipos de ataques de phishing, nos quais os golpistas usam mensagens falsas e links maliciosos para induzir as pessoas a comprometer seus celulares, contas bancárias ou dados pessoais. A diferença principal é o meio. Em ataques de smishing, os golpistas usam SMS ou aplicativos de mensagens para cometer seus crimes cibernéticos em vez de e-mails ou chamadas telefônicas.

Os golpistas preferem o smishing a outros tipos de ataques de phishing por diferentes motivos. Pesquisas indicam que as pessoas são mais propensas a clicar em links recebidos via mensagens de texto. Klaviyo relata que as taxas de cliques de SMS oscilam entre 8,9% e 14,5%.² Em comparação, e-mails têm uma taxa média de cliques de 2%, de acordo com a Constant Contact.³

Além disso, golpistas podem mascarar a origem das mensagens de smishing usando táticas como falsificação de números de telefone com celulares descartáveis ou utilizando software para enviar textos por e-mail.

Também é mais difícil identificar links perigosos em celulares. Em um computador, os usuários podem passar o mouse sobre um link para ver para onde ele leva. Nos smartphones, essa opção não está disponível. As pessoas também estão acostumadas a receber mensagens de bancos e marcas via SMS, incluindo URLs encurtados.

Em 2020, a Federal Communications Commission (FCC) determinou que as empresas de telecomunicações adotassem o protocolo STIR/SHAKEN. O STIR/SHAKEN autentica chamadas telefônicas e é a razão pela qual alguns celulares móveis agora exibem mensagens como "provável golpe" ou "provável spam" quando números suspeitos ligam.

Embora essa regra tenha facilitado a identificação de chamadas fraudulentas, ela não teve o mesmo efeito nas mensagens de texto, levando muitos golpistas a direcionarem seu foco para ataques de smishing.

Como outras formas de engenharia social, a maioria dos tipos de ataques de smishing depende de pretexto, que envolve o uso de histórias falsas para manipular as emoções das vítimas e enganá-las para que façam o pedido de um golpista.

Os golpistas podem se passar pelo banco da vítima, alertando-a sobre um problema na conta, frequentemente por meio de uma notificação falsa. Se a vítima clicar no link, será redirecionada para um site ou aplicativo falso que rouba informações financeiras sensíveis, como PINs, credenciais de login, senhas e informações de conta bancária ou cartão de crédito.

Segundo a Federal Trade Commission (FTC), a personificação de bancos é o golpe por mensagem de texto mais comum, representando 10% de todas as mensagens de smishing.⁴

Os golpistas podem fingir ser policiais, representantes do IRS ou outros funcionários de agências governamentais. Essas mensagens de smishing frequentemente afirmam que a vítima deve uma multa ou precisa agir para reivindicar um benefício governamental.

Por exemplo, em abril de 2024, o Federal Bureau of Investigation (FBI) emitiu um alerta sobre um golpe de smishing direcionado a motoristas nos EUA.⁵ Os golpistas enviam mensagens de texto fingindo ser de agências de cobrança de pedágio e afirmando que o alvo deve pedágios não pagos. As mensagens contêm um link para um site falso que rouba o dinheiro e as informações das vítimas.

Os invasores se passam por agentes de atendimento ao cliente de marcas e varejistas confiáveis como Amazon, Microsoft ou mesmo o provedor de serviço wireless da vítima. Normalmente, eles afirmam que existe um problema com a conta da vítima ou uma recompensa ou reembolso pendente. Normalmente, essas mensagens direcionam a vítima para um site falso que rouba seus números de cartão de crédito ou informações bancárias.

Essas mensagens de smishing afirmam vir de uma empresa de envios como FedEx, UPS ou o Serviço Postal dos EUA. Elas dizem à vítima que houve um problema na entrega de um pacote e pedem que ela pague uma “taxa de entrega do pacote” ou faça login na conta para corrigir o problema. Então, os golpistas pegam o dinheiro ou as informações da conta e somem. Esses golpes são comuns durante as festas de fim de ano, quando muitas pessoas aguardam encomendas.

No comprometimento de texto empresarial (semelhante ao comprometimento de e-mail empresarial, exceto por mensagem SMS), hackers fingem ser um chefe, colega de trabalho, fornecedor ou advogado que precisa de ajuda com uma tarefa urgente. Esses golpes frequentemente solicitam uma ação imediata e terminam com a vítima enviando dinheiro aos golpistas.

Os golpistas enviam uma mensagem de texto que parece ser destinada a outra pessoa que não a vítima.Os golpistas enviam uma mensagem de texto que parece ser destinada a outra pessoa que não a vítima.

Esses golpes de número errado tendem a ser de longo prazo, com o golpista tentando ganhar a amizade e a confiança da vítima por meio de contatos repetidos ao longo de meses ou até anos. O golpista pode até fingir desenvolver sentimentos românticos pela vítima. O objetivo é roubar o dinheiro da vítima por meio de uma oportunidade de investimento falsa, um pedido de empréstimo ou uma história semelhante.

Nesse golpe, chamado de fraude de autenticação multifator (MFA), um hacker que já possui o nome de usuário e a senha da vítima tenta roubar o código de verificação ou a senha provisória necessária para acessar a conta da vítima.

O hacker pode se passar por um dos amigos da vítima, alegar ter sido bloqueado de sua conta no Instagram ou Facebook e pedir que a vítima receba um código para eles. A vítima recebe um código MFA, que na verdade é para sua própria conta, e o entrega ao hacker.

Alguns golpes de smishing enganam as vítimas para que elas baixem aplicativos aparentemente legítimos, como por exemplo, gerenciadores de arquivos, aplicativos de pagamentos digitais, até mesmo aplicativos antivírus, que na verdade são malware ou ransomware.

Phishing é um termo amplo para ciberataques que utilizam engenharia social para enganar vítimas a pagar dinheiro, entregar informações confidenciais ou baixar malware. Smishing e vishing são apenas dois tipos de ataques de phishing que hackers podem usar em suas vítimas.

A diferença essencial entre os diversos tipos de ataques de phishing está no canal empregado para realizar os ataques. Em ataques de smishing, hackers visam suas vítimas usando mensagens de texto ou SMS. Em ataques de vishing (abreviação de “voice phishing”), hackers usam comunicação por voz, como ligações telefônicas e mensagens de voz, para se passar por organizações legítimas e manipular as vítimas.

Para ajudar a combater golpes de smishing, a FCC adotou uma nova regra que exige que os provedores de serviços sem fio bloqueiem mensagens de spam prováveis de números suspeitos, incluindo números de telefone não utilizados ou inválidos.⁶

No entanto, nenhum filtro de spam é perfeito, e cibercriminosos estão sempre buscando maneiras de contornar essas medidas. Indivíduos e organizações podem tomar medidas adicionais para fortalecer suas defesas contra ataques de smishing, incluindo:

Sistemas operacionais Android e iOS possuem proteções e funções integradas, como bloqueio de aplicativos não aprovados e filtragem de mensagens de texto suspeitas para uma pasta de spam.

No âmbito organizacional, as empresas podem usar soluções de unified endpoint management (UEM) e ferramentas de detecção de fraude para estabelecer controles de segurança móvel, impor políticas de segurança e interceptar atividades maliciosas.

As organizações podem impedir mais golpes treinando os funcionários para reconhecer os sinais de alerta de ciberataques e tentativas de smishing, como números de telefone incomuns, remetentes desconhecidos, URLs inesperadas e um senso aumentado de urgência.

Muitas organizações usam simulações de smishing para ajudar os funcionários a praticar novas habilidades de cibersegurança. Essas simulações também podem ajudar as equipes de segurança a descobrir vulnerabilidades em sistemas de computador e políticas organizacionais que expõem a empresa a golpes.

As organizações podem corrigir essas vulnerabilidades combinando ferramentas de detecção de ameaças com políticas para manuseio de dados sensíveis, autorização de pagamentos e verificação de solicitações antes de agir.