Início
topics
Smishing
Atualizado em: 10 de junho de 2024
Colaborador: Matthew kosinski
Smishing é um ataque de engenharia social que utiliza mensagens de texto falsas para enganar pessoas e fazer com que elas baixem algum malware, compartilhem informações sensíveis ou enviem dinheiro para cibercriminosos. O termo "smishing" é uma combinação de "SMS" ou "short message service", a tecnologia por trás das mensagens de texto, e "phishing".
O smishing é uma forma de cibercrime cada vez mais popular. De acordo com o relatório State of the Phish de 2024 da Proofpoint, 75% das organizações sofreram ataques de smishing em 2023.1
Vários fatores contribuíram para o aumento nos casos de smishing. Por um lado, os hackers que perpetram esses ataques, às vezes chamados de “smishers”, sabem que as vítimas têm mais probabilidade de clicar em mensagens de texto do que em outros links. Ao mesmo tempo, os avanços nos filtros de spam dificultaram outras formas de phishing, como e-mails e chamadas telefônicas, para alcançar seus objetivos.
O aumento do bring your own device (BYOD) e das modalidades de trabalho remoto também levou mais pessoas a usarem seus dispositivos móveis no trabalho, facilitando o acesso de cibercriminosos às redes da empresa por meio dos celulares dos funcionários.
Nossa equipe X-Force® de hackers, especialistas em resposta, pesquisadores e analistas de inteligência está à disposição para discutir os desafios específicos de segurança da sua organização e como podemos ajudar.
Os ataques de smishing são semelhantes a outros tipos de ataques de phishing, nos quais os golpistas usam mensagens falsas e links maliciosos para enganar as pessoas a comprometer seus celulares, contas bancárias ou dados pessoais.A única diferença principal é o meio. Em ataques de smishing, os golpistas usam SMS ou aplicativos de mensagens para realizar seus crimes cibernéticos em vez de e-mails ou chamadas telefônicas.
Os golpistas escolhem smishing de outros tipos de ataques de phishing por várias razões. Talvez o mais importante seja que pesquisas mostram que as pessoas têm maior probabilidade de clicar em links em mensagens de texto. Klaviyo relata que as taxas de cliques de SMS oscilam entre 8,9% e 14,5 por cento (link reside fora do ibm.com). Em comparação, os e-mails têm uma taxa média de cliques de apenas 1,33%, de acordo com Constant Contact (link reside fora de ibm.com).
Além disso, os golpistas podem mascarar cada vez mais as origens das mensagens de smishing usando táticas como falsificar números de telefone com telefones gravadores ou utilizar software para enviar mensagens de texto por e-mail. Também é mais difícil detectar links perigosos em telefones celulares. Por exemplo, em um computador, os usuários podem passar o mouse sobre um link para ver para onde ele leva, mas em smartphones, eles não têm essa opção.As pessoas também estão acostumadas a bancos e marcas entrando em contato por SMS e recebendo URLs encurtadas em mensagens de texto.
Em 2020, a Federal Communications Commission (FCC) exigiu que as empresas de telecomunicações adotassem o protocolo STIR/SHAKEN (link reside fora de ibm.com), que autentica chamadas telefônicas e é a razão pela qual alguns telefones móveis agora exibem mensagens como "provável fraude" ou "provável spam" quando números suspeitos ligam.Mas mesmo que o STIR/SHAKEN tenha tornado as chamadas fraudulentas mais fáceis de detectar, ele não teve o mesmo efeito nas mensagens de texto, levando muitos golpistas a mudar seu foco para ataques de smishing.
Como outras formas de engenharia social, a maioria dos tipos de ataques de smishing depende de pretexto, que envolve o uso de histórias falsas para manipular as emoções das vítimas e enganá-las para que façam o pedido de um golpista.
Os golpistas podem se passar pelo banco da vítima, alertando-a sobre um problema na conta, frequentemente por meio de uma notificação falsa. Se a vítima clicar no link, ela será direcionada para um site ou aplicativo falso que rouba informações financeiras sensíveis, como PINs, credenciais de login, senhas e informações de contas bancárias ou cartões de crédito.
Segundo a Federal Trade Commission (FTC), a personificação de bancos é o golpe por mensagem de texto mais comum, representando 10% de todas as mensagens de smishing.4
Os golpistas podem fingir ser policiais, representantes do IRS ou outros funcionários de agências governamentais. Essas mensagens de smishing frequentemente afirmam que a vítima deve uma multa ou precisa agir para reivindicar um benefício governamental.
Por exemplo, em abril de 2024, o Federal Bureau of Investigation (FBI) emitiu um alerta sobre um golpe de smishing direcionado a motoristas nos EUA.5 Os golpistas enviam mensagens de texto fingindo ser de agências de cobrança de pedágio e afirmando que o alvo deve pedágios não pagos. As mensagens contêm um link para um site falso que rouba o dinheiro e as informações das vítimas.
Os invasores se passam por agentes de atendimento ao cliente de marcas e varejistas confiáveis como Amazon, Microsoft ou mesmo o provedor de serviço wireless da vítima. Normalmente, eles afirmam que existe um problema com a conta da vítima ou uma recompensa ou reembolso pendente. Normalmente, essas mensagens direcionam a vítima para um site falso que rouba seus números de cartão de crédito ou informações bancárias.
Essas mensagens de smishing afirmam vir de uma empresa de transporte como FedEx, UPS ou o Serviço Postal dos EUA. Eles dizem à vítima que houve um problema na entrega de um pacote e pedem que ela pague uma “taxa de entrega do pacote” ou faça login na conta para corrigir o problema. Então, os golpistas pegam o dinheiro ou as informações da conta e somem. Esses golpes são comuns durante as festas de fim de ano, quando muitas pessoas aguardam pacotes.
No comprometimento de texto empresarial (semelhante ao comprometimento de e-mail empresarial, exceto por mensagem SMS), hackers fingem ser um chefe, colega de trabalho, fornecedor ou advogado que precisa de ajuda com uma tarefa urgente. Esses golpes frequentemente solicitam uma ação imediata e terminam com a vítima enviando dinheiro aos golpistas.
Os golpistas enviam uma mensagem de texto que parece ser destinada a outra pessoa que não a vítima.Os golpistas enviam uma mensagem de texto que parece ser destinada a outra pessoa que não a vítima.
Esses golpes de número errado tendem a ser de longo prazo, com o golpista tentando ganhar a amizade e a confiança da vítima por meio de contatos repetidos ao longo de meses ou até anos. O golpista pode até fingir desenvolver sentimentos românticos pela vítima. O objetivo é roubar o dinheiro da vítima por meio de uma oportunidade de investimento falsa, um pedido de empréstimo ou uma história semelhante.
Nesse golpe, chamado de fraude de autenticação multifator (MFA), um hacker que já possui o nome de usuário e a senha da vítima tenta roubar o código de verificação ou a senha provisória necessária para acessar a conta da vítima.
O hacker pode se passar por um dos amigos da vítima, alegar ter sido bloqueado de sua conta no Instagram ou Facebook e pedir que a vítima receba um código para eles. A vítima recebe um código MFA, que na verdade é para sua própria conta, e o entrega ao hacker.
Alguns golpes de smishing enganam as vítimas para que elas baixem aplicativos aparentemente legítimos, por exemplo, gerenciadores de arquivos, aplicativos de pagamento digital, até mesmo aplicativos antivírus, que na verdade são malware ou ransomware.
Phishing é um termo amplo para ciberataques que utilizam engenharia social para enganar vítimas a pagar dinheiro, entregar informações sensíveis ou baixar malware. Smishing e vishing são apenas dois tipos de ataques de phishing que os hackers podem usar em suas vítimas.
A diferença essencial entre os diversos tipos de ataques de phishing está no canal empregado para realizar os ataques. Em ataques de smishing, hackers visam suas vítimas usando mensagens de texto ou SMS. Em ataques de vishing (abreviação de “voice phishing”), hackers usam comunicação por voz, como ligações telefônicas e mensagens de voz, para se passar por organizações legítimas e manipular as vítimas.
Para ajudar a combater golpes de smishing, a FCC adotou uma nova regra que exige que os provedores de serviços sem fio bloqueiem mensagens de spam prováveis de números suspeitos, incluindo números de telefone não utilizados ou inválidos.6
No entanto, nenhum filtro de spam é perfeito, e cibercriminosos estão sempre buscando maneiras de contornar essas medidas. Indivíduos e organizações podem tomar medidas adicionais para fortalecer suas defesas contra ataques de smishing, incluindo:
Sistemas operacionais Android e iOS possuem proteções e funções integradas, como bloqueio de aplicativos não aprovados e filtragem de mensagens de texto suspeitas para uma pasta de spam.
No âmbito organizacional, as empresas podem usar soluções de unified endpoint management (UEM) e ferramentas de detecção de fraudes para estabelecer controles de segurança móvel, reforçar políticas de segurança e bloquear atividades maliciosas.
As organizações podem impedir mais golpes treinando os funcionários para reconhecer os sinais de alerta de ciberataques e tentativas de smishing, como números de telefone incomuns, remetentes desconhecidos, URLs inesperadas e um senso aumentado de urgência.
Muitas organizações usam simulações de smishing para ajudar os funcionários a praticar novas habilidades de cibersegurança. Essas simulações também podem ajudar as equipes de segurança a descobrir vulnerabilidades em sistemas de computador e políticas organizacionais que expõem a empresa a golpes.
As organizações podem corrigir essas vulnerabilidades combinando ferramentas de detecção de ameaças com políticas para manuseio de dados sensíveis, autorização de pagamentos e verificação de solicitações antes de agir.
O IBM Security® MaaS360® oferece um pacote completo de defesa contra ameaças móveis (MTD) integrado, que ajuda a manter uma abordagem centrada no usuário e na segurança para o unified endpoint management (UEM).
IBM Security Trusteer Pinpoint Assure é uma ferramenta SaaS para detectar e prever riscos de identidade para usuários convidados e durante a criação de contas digitais.
Armazenamento de dados resiliente no caso de um ciberataque. O IBM Storage FlashSystem monitora continuamente as estatísticas coletadas de cada I/O usando modelos de aprendizado de máquina para detectar anomalias como ransomware em menos de um minuto.
Entender as táticas dos hackers é fundamental para proteger seu time, seus dados e sua infraestrutura. Capacite-se aprendendo com os desafios e sucessos experimentados pelas equipes de segurança no mundo todo.
Saiba como os cibercriminosos estão mudando o foco para caminhos de menor resistência, explorando a “superfície de ataque humana” para avançar seus objetivos.
Explore mais a fundo o conceito de resiliência cibernética, que não apenas defende contra ciberataques, mas estabelece soluções de recuperação para voltar ao normal o mais rapidamente possível em caso de ataque.
Notas de rodapé
Todos os links levam para fora do site ibm.com
1 2024 State of the Phish. Proofpoint.
2 benchmarks de SMS e MMS de campanha. Klaviyo. 7 de junho de 2024.
3 Taxas médias do setor para e-mail em abril de 2024. Contato constante. 9 de maio de 2024.
4 Nova análise de dados da FTC mostra que a personificação de bancos é o golpe por mensagem de texto mais reportado.. Federal Trade Commission. 8 de junho de 2023.
5 Você recebeu uma mensagem sobre pedágios de estrada não pagos? Pode ser um golpe de 'smishing', diz o FBI. USA Today. 18 de abril de 2024.
6 A FCC adota suas primeiras regras focadas em mensagens de texto fraudulentas. Federal Communications Commission. 17 de maio de 2023.