O que é smishing (phishing por SMS)?
Explore a solução contra smishing da IBM Inscreva-se para atualizações do tópico de segurança
Ilustração com colagem de pictogramas de nuvens, telefone celular, impressão digital e marca de verificação.
O que é smishing?

Smishing é um ataque de  engenharia social que usa mensagens de texto falsas em celulares para induzir as pessoas a baixar um  malware, compartilhar informações confidenciais ou enviar dinheiro para cibercriminosos. O termo "smishing" é uma combinação de “SMS” (serviço de mensagens curtas, que é a tecnologia por trás das mensagens de texto) e “phishing”.

Smishing é uma forma cada vez mais popular de cibercrime. De acordo com o relatório da Proofpoint's 2023 State of the Phish (link reside fora de ibm.com), 76% das organizações sofreram ataques de smishing em 2022. 

Vários fatores contribuíram para o aumento nos casos de smishing. Por um lado, os hackers que perpetram esses ataques, às vezes chamados de “smishers”, sabem que as vítimas têm mais probabilidade de clicar em mensagens de texto do que em outros links. Ao mesmo tempo, os avanços nos filtros de spam dificultaram outras formas de phishing, como e-mails e chamadas telefônicas, para alcançar seus objetivos. 

O aumento da prática de trazer seu próprio dispositivo (BYOD) e dos acordos de trabalho remoto também tem levado mais pessoas a usar seus dispositivos móveis no trabalho, tornando mais fácil para cibercriminosos acessar as redes corporativas por meio dos celulares dos funcionários.

IBM Security X-Force Threat Intelligence Index

Obter insights para preparar e responder a ciberataques com maior velocidade e eficácia com o Índice IBM Security X-Force Threat Intelligence.

Conteúdo relacionado

Cadastre-se para obter o relatório do custo das violações de dados

Como funcionam os ataques smishing

Os ataques de smishing são semelhantes a outros tipos de ataques de phishing, nos quais os golpistas usam mensagens falsas e links maliciosos para enganar as pessoas a comprometer seus celulares, contas bancárias ou dados pessoais.A única diferença principal é o meio. Em ataques de smishing, os golpistas usam SMS ou aplicativos de mensagens para realizar seus crimes cibernéticos em vez de e-mails ou chamadas telefônicas. 

Os golpistas escolhem smishing de outros tipos de ataques de phishing por várias razões. Talvez o mais importante seja que pesquisas mostram que as pessoas têm maior probabilidade de clicar em links em mensagens de texto. Klaviyo relata que as taxas de cliques de SMS oscilam entre 8,9% e 14,5 por cento (link reside fora do ibm.com). Em comparação, os e-mails têm uma taxa média de cliques de apenas 1,33%, de acordo com Constant Contact (link reside fora de ibm.com). 

Além disso, os golpistas podem mascarar cada vez mais as origens das mensagens de smishing usando táticas como falsificar números de telefone com telefones gravadores ou utilizar software para enviar mensagens de texto por e-mail. Também é mais difícil detectar links perigosos em telefones celulares. Por exemplo, em um computador, os usuários podem passar o mouse sobre um link para ver para onde ele leva, mas em smartphones, eles não têm essa opção.As pessoas também estão acostumadas a bancos e marcas entrando em contato por SMS e recebendo URLs encurtadas em mensagens de texto.

Em 2020, a Federal Communications Commission (FCC) exigiu que as empresas de telecomunicações adotassem o protocolo STIR/SHAKEN (link reside fora de ibm.com), que autentica chamadas telefônicas e é a razão pela qual alguns telefones móveis agora exibem mensagens como "provável fraude" ou "provável spam" quando números suspeitos ligam.Mas mesmo que o STIR/SHAKEN tenha tornado as chamadas fraudulentas mais fáceis de detectar, ele não teve o mesmo efeito nas mensagens de texto, levando muitos golpistas a mudar seu foco para ataques de smishing.

Exemplos de golpes de smishing

Como outras formas de engenharia social, a maioria dos tipos de ataques de smishing depende de pretexto, que envolve o uso de histórias falsas para manipular as emoções das vítimas e enganá-las para que façam o pedido de um golpista.

Fingindo ser uma instituição financeira

Os golpistas podem se fazer passar pelo banco da vítima, alertando-a sobre um problema em sua conta, frequentemente por meio de uma notificação falsa. Se a vítima clicar no link, será redirecionada para um site ou aplicativo falso que rouba informações financeiras sensíveis, como PINs, credenciais de login, senhas e informações de conta bancária ou cartão de crédito. Em 2018, um grupo de golpistas (link externo ao site ibm.com) usou esse método para roubar US$ 100 mil de clientes do Fifth Third Bank.

Fingindo ser o governo

Os golpistas podem fingir ser policiais, representantes do IRS ou outros funcionários do governo. Essas mensagens de smishing costumam alegar que a vítima deve uma multa ou deve agir para pedir um benefício do governo. Por exemplo, no auge da pandemia de COVID-19, a Federal Trade Commission (FTC) fez um alerta sobre ataques de smishing (link externo ao site ibm.com) que ofereciam benefícios fiscais, testes de COVID gratuitos e serviços semelhantes. Quando as vítimas seguiam os links das mensagens, os golpistas roubavam seus números de previdência social e outras informações que poderiam usar para roubo de identidade. 

Fingindo ser suporte ao cliente

Os invasores se passam por agentes de atendimento ao cliente de marcas e varejistas confiáveis, como Amazon, Microsoft ou até mesmo o provedor de serviços sem fio da vítima. Eles geralmente dizem que há um problema com a conta da vítima ou uma recompensa ou reembolso não reclamado. Normalmente, essas mensagens levam a vítima a um site falso que rouba seus números de cartão de crédito ou informações bancárias.

Fingindo ser alguém da transportadora

Essas mensagens de smishing alegam vir de uma empresa de transporte, como a FedEx, a UPS ou o Serviço Postal dos EUA. Eles dizem à vítima que houve um problema na entrega de uma encomenda e pedem o pagamento de uma "taxa de entrega" ou o acesso à conta para corrigir o problema. Em seguida, os golpistas pegam o dinheiro ou as informações da conta e fogem. Esses golpes são comuns nas festas de fim de ano, quando muitas pessoas aguardam encomendas. 

Pretendendo ser um chefe ou colega

No comprometimento de mensagem comercial (semelhante ao comprometimento de e-mail comercial, exceto por mensagens SMS), os hackers se fazem passar por um chefe, colega de trabalho, funcionário, fornecedor ou advogado que precisa de ajuda com uma tarefa urgente. Esses golpes muitas vezes solicitam ação imediata e terminam com a vítima enviando dinheiro para os hackers.

Fingindo mandar mensagem para o número errado

Os golpistas enviam uma mensagem de texto que parece ser destinada a outra pessoa que não a vítima.Os golpistas enviam uma mensagem de texto que parece ser destinada a outra pessoa que não a vítima.Esses golpes de número errado tendem a ser de longo prazo, com o golpista tentando conquistar a amizade e a confiança da vítima por meio de contatos repetidos ao longo de meses ou até mesmo anosO golpista pode até fingir desenvolver sentimentos românticos para a vítima. O objetivo é eventualmente roubar o dinheiro da vítima através de uma oportunidade de investimento falsa, um pedido de empréstimo ou uma história semelhante.

Fingindo que sua conta foi bloqueada

Nesse golpe, chamado de fraude de autenticação multifator (MFA), um hacker que já possui o nome de usuário e a senha da vítima tenta roubar o código de verificação ou a senha provisória necessária para acessar a conta da vítima. O hacker pode se passar por um dos amigos da vítima, alegar ter sido bloqueado de sua conta no Instagram ou Facebook e pedir que a vítima receba um código para eles. A vítima recebe um código MFA, que na verdade é para sua própria conta, e o entrega ao hacker.

Fingindo oferecer aplicativos gratuitos

Alguns golpes de smishing induzem as vítimas a baixar aplicativos aparentemente legítimos (como gerenciadores de arquivos, aplicativos de pagamento digital e até mesmo aplicativos antivírus) que na verdade são malware ou ransomware

Smishing versus phishing versus pesca

Phishing é um termo amplo para ataques cibernéticos que utilizam engenharia social para enganar as vítimas e fazê-las pagar dinheiro, fornecer informações sensíveis ou baixar malware.Smishing e vishing são apenas dois tipos de ataques de phishing que os hackers podem usar em suas vítimas. 

A principal diferença entre os diferentes tipos de ataques de phishing é o meio usado para realizar os ataques. Nos ataques de smishing, os hackers direcionam exclusivamente suas vítimas usando mensagens de texto ou SMS, enquanto nos ataques de vishing (abreviação de 'phishing por voz'), os hackers usam comunicação de voz, como chamadas telefônicas e mensagens de voz, para se passarem por organizações legítimas e manipular as vítimas.

Lutando contra ataques smishing

Muitos especialistas em segurança cibernética acreditam que o smishing se tornará mais comum nos próximos anos. A CISO da Proofpoint, Lucia Milică (link externo ao site ibm.com) acha que as ferramentas de smishing aparecerão nos mercados de malware, permitindo que golpistas menos experientes tecnicamente enviem textos maliciosos.

A Gartner prevê (link externo ao site ibm.com) um aumento nas tentativas de phishing "multicanal" que combinam mensagens, e-mails, chamadas telefônicas e outros canais de comunicação. Por exemplo, o Lazarus Group, uma gangue de hackers apoiada pela Coreia do Norte, é conhecido por utilizar táticas de vários canais. O grupo usou perfis falsos do LinkedIn para se passar por recrutadores para trocas de criptomoedas (link externo ao site ibm.com). Eles contatavam as vítimas sob o pretexto de discutir vagas de emprego e, em seguida, transferiam as conversas do LinkedIn para SMS ou WhatsApp, onde as enganavam para que baixassem cavalos de Troia ou outros malwares. 

A FCC (link externo ao site ibm.com) está considerando uma regra que exige que os provedores de serviços sem fio bloqueiem mensagens de texto de spam. Entretanto, indivíduos e empresas podem tomar medidas críticas para se protegerem:

  • Soluções de cibersegurança móvel: os sistemas operacionais Android e iOS têm proteções e funções incorporadas, como bloquear aplicativos não aprovados e filtrar mensagens suspeitas para uma pasta de spam. No nível organizacional, as empresas podem usar soluções gerenciamento unificado de endpoints (UEM) para definir políticas e controles de segurança móvel.

  • Treinamento de conscientização de segurança: treinar pessoas para reconhecer os sinais de alerta de ataques cibernéticos e smishing, como números de telefone incomuns, URLs inesperados e um senso maior de urgência, pode ajudar a proteger uma organização. O treinamento também pode definir regras para lidar com dados confidenciais, autorizar pagamentos e verificar solicitações antes de agir.

Soluções relacionadas
Soluções de segurança para dispositivos móveis

bloqueie ameaças de segurança móvel em todos os dispositivos, ao mesmo tempo em que proporciona experiências sem obstáculos para os usuários e mantém a eficiência das equipes de TI e segurança.

Explore as soluções de mobile security
Detecção e prevenção de ransomware

Detecte ransomware antes que ele possa roubar seus dados e tome medidas imediatas e informadas para evitar ou minimizar os efeitos do ataque com o IBM Security QRadar SIEM.

Explorar detecção e prevenção de ransomware
Detecção e resposta a ameaças

Melhore a investigação e triagem de alertas com o IBM Security QRadar Suite, uma seleção modernizada de tecnologias de segurança que oferece uma experiência unificada para analistas e integra inteligência artificial e automação. 

Explore a detecção e a resposta a ameaças
Recursos O que é phishing?

Os golpes de phishing induzem as vítimas a divulgar dados confidenciais, baixar malware e expor a si mesmas ou a suas organizações ao cibercrime.

O que é engenharia social?

Os ataques de engenharia social contam com a natureza humana em vez de com um hacking técnico, para manipular as pessoas para comprometer sua segurança pessoal ou a segurança de uma rede corporativa.

O que é mobile security?

Segurança de dispositivos móveis refere-se a ficar livre de perigo ou risco de perder ativos ou dados usando computadores móveis e hardware de comunicação.

Dê o próximo passo

As ameaças de cibersegurança estão se tornando mais avançadas, persistentes e exigem mais esforço dos analistas de segurança para filtrar inúmeros alertas e incidentes. O IBM Security QRadar SIEM ajuda você a remediar as ameaças mais rapidamente, mantendo seus resultados. O QRadar SIEM prioriza alertas de alta fidelidade para ajudar você a detectar ameaças que outros não percebem.

Conheça o QRadar SIEM Agende uma demonstração em tempo real