Smishing é um ataque de engenharia social que usa mensagens de texto móveis falsas para enganar as pessoas para fazer o download de malware, compartilhar informações confidenciais ou enviar dinheiro para criminosos cibernéticos. O termo "smishing" é uma combinação de "SMS" — ou "serviço de mensagens curtas", a tecnologia por trás de mensagens de texto — e "phishing".
Smishing é uma forma cada vez mais popular de cibercrime. De acordo com o relatório da Proofpoint's 2023 State of the Phish (link reside fora de ibm.com), 76% das organizações sofreram ataques de smishing em 2022.
Vários fatores contribuíram para um aumento no smishing. Primeiramente, os hackers que perpetram esses ataques, às vezes chamados de 'smishers', sabem que as vítimas têm mais probabilidade de clicar em mensagens de texto do que em outros links.Ao mesmo tempo, os avanços nos filtros de spam dificultaram outras formas de phishing, como e-mails e chamadas telefônicas, para alcançar seus objetivos.
O aumento da prática de trazer seu próprio dispositivo (BYOD) e dos acordos de trabalho remoto também tem levado mais pessoas a usar seus dispositivos móveis no trabalho, tornando mais fácil para cibercriminosos acessar as redes corporativas por meio dos celulares dos funcionários.
Os ataques de smishing são semelhantes a outros tipos de ataques de phishing, nos quais os golpistas usam mensagens falsas e links maliciosos para enganar as pessoas a comprometer seus celulares, contas bancárias ou dados pessoais.A única diferença principal é o meio. Em ataques de smishing, os golpistas usam SMS ou aplicativos de mensagens para realizar seus crimes cibernéticos em vez de e-mails ou chamadas telefônicas.
Os golpistas escolhem smishing de outros tipos de ataques de phishing por várias razões. Talvez o mais importante seja que pesquisas mostram que as pessoas têm maior probabilidade de clicar em links em mensagens de texto. Klaviyo relata que as taxas de cliques de SMS oscilam entre 8,9% e 14,5 por cento (link reside fora do ibm.com). Em comparação, os e-mails têm uma taxa média de cliques de apenas 1,33%, de acordo com Constant Contact (link reside fora de ibm.com).
Além disso, os golpistas podem mascarar cada vez mais as origens das mensagens de smishing usando táticas como falsificar números de telefone com telefones gravadores ou utilizar software para enviar mensagens de texto por e-mail. Também é mais difícil detectar links perigosos em telefones celulares. Por exemplo, em um computador, os usuários podem passar o mouse sobre um link para ver para onde ele leva, mas em smartphones, eles não têm essa opção.As pessoas também estão acostumadas a bancos e marcas entrando em contato por SMS e recebendo URLs encurtadas em mensagens de texto.
Em 2020, a Federal Communications Commission (FCC) exigiu que as empresas de telecomunicações adotassem o protocolo STIR/SHAKEN (link reside fora de ibm.com), que autentica chamadas telefônicas e é a razão pela qual alguns telefones móveis agora exibem mensagens como "provável fraude" ou "provável spam" quando números suspeitos ligam.Mas mesmo que o STIR/SHAKEN tenha tornado as chamadas fraudulentas mais fáceis de detectar, ele não teve o mesmo efeito nas mensagens de texto, levando muitos golpistas a mudar seu foco para ataques de smishing.
Como outras formas de engenharia social, a maioria dos tipos de ataques de smishing depende de pretexto, que envolve o uso de histórias falsas para manipular as emoções das vítimas e enganá-las para que façam o pedido de um golpista.
Os golpistas podem se fazer passar pelo banco da vítima, alertando-os sobre um problema em sua conta, frequentemente por meio de uma notificação falsa.Se a vítima clicar no link, ela será redirecionada para um site ou aplicativo falso que rouba informações financeiras sensíveis, como PINs, credenciais de login, senhas e informações de conta bancária ou cartão de créditoEm 2018, um grupo de golpistas (link reside fora de ibm.com) usou esse método para roubar US$ 100 mil de clientes do Fifth Third Bank.
Os golpistas podem fingir ser policiais, representantes do IRS ou outros funcionários do governo. Esses textos smishing geralmente alegam que a vítima deve uma multa ou deve agir para reivindicar um benefício do governo. Por exemplo, no auge da pandemia COVID-19, a Federal Trade Commission (FTC) alertou sobre ataques de smishing (link reside fora de ibm.com) que ofereceram alívio fiscal, testes de COVID gratuitos e serviços semelhantes. Quando as vítimas seguiram links nesses textos, os golpistas roubam seus números de previdência social e outras informações que poderiam usar para cometer roubo de identidade.
Os invasores se passam por agentes de suporte ao cliente de marcas e varejistas confiáveis, como Amazon, Microsoft ou até mesmo o provedor de serviços sem fio da vítima.Eles geralmente dizem que há um problema com a conta da vítima ou uma recompensa ou reembolso não reclamado. Normalmente, esses textos enviam a vítima para um site falso que rouba seus números de cartão de crédito ou informações bancárias.
Esses smishing de SMS afirmam vir de uma empresa de transporte como a FedEx, a UPS ou o Serviço Postal dos EUA. Eles dizem à vítima que houve um problema ao entregar um pacote e pedem que pagassem uma "taxa de entrega" ou entrassem em sua conta para corrigir o problema. Claro, os golpistas pegam o dinheiro ou as informações da conta e executam. Esses golpes são comuns nas festas de fim de ano quando muitas pessoas aguardam pacotes.
Em comprometimento de texto comercial (semelhante ao comprometimento de e-mail comercial, exceto por meio de mensagens SMS), hackers se fazem passar por um chefe, colega de trabalho ou colaborador (como um fornecedor ou advogado) que precisa de ajuda com uma tarefa urgente.Esses golpes muitas vezes solicitam ação imediata e terminam com a vítima enviando dinheiro para os hackers.
Os golpistas enviam uma mensagem de texto que parece ser destinada a outra pessoa que não a vítima.Os golpistas enviam uma mensagem de texto que parece ser destinada a outra pessoa que não a vítima.Esses golpes de número errado tendem a ser de longo prazo, com o golpista tentando conquistar a amizade e a confiança da vítima por meio de contatos repetidos ao longo de meses ou até mesmo anosO golpista pode até fingir desenvolver sentimentos românticos para a vítima. O objetivo é eventualmente roubar o dinheiro da vítima através de uma oportunidade de investimento falsa, um pedido de empréstimo ou uma história semelhante.
Neste golpe, chamado de fraude de autenticação multifatorial (MFA), um hacker que já possui o nome de usuário e a senha da vítima tenta roubar o código de verificação ou a senha única necessária para acessar a conta da vítima.O hacker pode se passar por um dos amigos da vítima, alegar ter sido bloqueado de sua conta no Instagram ou Facebook e pedir que a vítima receba um código para eles. A vítima recebe um código MFA, que na verdade é para sua própria conta, e o entrega ao hacker.
Alguns golpes de smishing induzem as vítimas a baixar aplicativos aparentemente legítimos, por exemplo, gerenciadores de arquivos, aplicativos de pagamento digital e até mesmo aplicativos antivírus, que na verdade são malware ou ransomware.
Phishing é um termo amplo para ataques cibernéticos que utilizam engenharia social para enganar as vítimas e fazê-las pagar dinheiro, fornecer informações sensíveis ou baixar malware.Smishing e vishing são apenas dois tipos de ataques de phishing que os hackers podem usar em suas vítimas.
A principal diferença entre os diferentes tipos de ataques de phishing é o meio usado para realizar os ataques. Nos ataques de smishing, os hackers direcionam exclusivamente suas vítimas usando mensagens de texto ou SMS, enquanto nos ataques de vishing (abreviação de 'phishing por voz'), os hackers usam comunicação de voz, como chamadas telefônicas e mensagens de voz, para se passarem por organizações legítimas e manipular as vítimas.
Muitos especialistas em segurança cibernética acreditam que o smishing se tornará mais comum nos próximos anos. A CISO da Proofpoint, Lucia Milică (link reside fora de ibm.com) acha que as ferramentas de smishing aparecerão nos mercados de malware, permitindo que golpistas menos experientes tecnicamente enviem textos maliciosos.
A Gartner prevê (link reside fora de ibm.com) um aumento nas tentativas de phishing "multicanal" que combinam texto, e-mail, chamadas telefônicas e outros canais de comunicação. Por exemplo, o Lazarus Group, uma gangue de hackers apoiada pela Coreia do Norte, é conhecido por utilizar táticas de vários canais.O grupo usou perfis falsos do LinkedIn para representar como recrutadores para trocas de criptomoedas (link reside fora de ibm.com), contatavam as vítimas sob o pretexto de discutir vagas de emprego e, em seguida, transferiam as conversas do LinkedIn para SMS ou WhatsApp, onde as enganavam para que baixassem cavalos de Troia ou outros malwares.
A FCC (link reside fora de ibm.com) está considerando uma regra que exige que os provedores de serviços sem fio bloqueiem mensagens de texto de spam. Entretanto, indivíduos e empresas podem tomar medidas críticas para se protegerem:
Soluções de cibersegurança móvel : os sistemas operacionais Android e iOS têm proteções e funcionalidades incorporadas, como bloquear aplicativos não aprovados e filtrar textos suspeitos em uma pasta de spam. No nível organizacional, as empresas podem usar soluções gerenciamento unificado de endpoints (UEM) para definir políticas e controles de segurança móvel.
Treinamento de conscientização de segurança: treinar pessoas para reconhecer os sinais de alerta de ataques cibernéticos e smishing, como números de telefone incomuns, URLs inesperados e um senso maior de urgência, pode ajudar a proteger uma organização. O treinamento também pode definir regras para lidar com dados confidenciais, autorizar pagamentos e verificar solicitações antes de executá-las.
bloqueie ameaças de segurança móvel em todos os dispositivos, ao mesmo tempo em que proporciona experiências sem obstáculos para os usuários e mantém a eficiência das equipes de TI e segurança.
Detecte ransomware antes que ele possa roubar seus dados e tome medidas imediatas e informadas para evitar ou minimizar os efeitos do ataque com o IBM Security® QRadar® SIEM.
Melhore a investigação e triagem de alertas com o IBM Security QRadar Suite, uma seleção modernizada de tecnologias de segurança que oferece uma experiência unificada para analistas e integra inteligência artificial e automação.
Os golpes de phishing induzem as vítimas a divulgar dados confidenciais, baixar malware e expor a si mesmas ou a suas organizações ao cibercrime.
Os ataques de engenharia social contam com a natureza humana em vez de com um hacking técnico, para manipular as pessoas para comprometer sua segurança pessoal ou a segurança de uma rede corporativa.
Entenda o que é segurança móvel, por que ela é importante e como funciona.