O que é Smishing?

Os ataques de smishing usam serviço de mensagens curtas ou SMS, mais comumente conhecido como mensagens de texto. Essa forma de ataque tem se tornado cada vez mais popular devido ao fato de que as pessoas estão mais propensas a confiar em uma mensagem que chega por meio de um aplicativo de mensagens em seus telefones do que em uma mensagem enviada por e-mail.

Embora muitas vítimas não comparem os golpes de phishing com mensagens de texto pessoais, a verdade é que é mais fácil para os agentes de ameaças encontrarem seu número de telefone do que seu e-mail. Há um número finito de opções com números de telefone – nos EUA, um número de telefone tem 10 dígitos.

Compare isso com um endereço de e-mail, que não é limitado por tamanho, embora haja um número razoável de caracteres esperados. Os e-mails podem incluir números, letras e símbolos – !, #,%, por exemplo. É muito mais fácil juntar dez dígitos aleatórios para alcançar a vítima do que conectar-se a uma pessoa por meio de um endereço de e-mail.

O criminoso pode simplesmente enviar mensagens com qualquer combinação de dígitos que tenha o mesmo comprimento de um número de telefone. Eles podem tentar toda e qualquer combinação de dígitos sem dano, sem falta. O Gartner relata que os usuários leem 98% das mensagens de texto e respondem a 45%. Isso torna o texto muito lógico para criminosos usarem como vetor de ataque, especialmente quando, conforme relatado pelo Gartner, apenas 6% dos e-mails recebem respostas.

Com uma mensagem de texto, os atacantes podem tentar realizar muitas coisas diferentes. Isso inclui roubar seus dados pessoais, passando-se por um representante de seu banco. Eles podem tentar fazer você clicar em um link na mensagem de texto para se conectar à página da web do seu banco e verificar uma cobrança suspeita recente. Eles podem solicitar que você ligue para o número de atendimento ao cliente, convenientemente incluído na mensagem de texto, para falar com eles sobre uma cobrança suspeita recente ou uma conta comprometida.

Os criminosos também tentam usar medidas simpáticas para coletar informações confidenciais. Um exemplo inclui mensagens relacionadas ao alívio do furacão em que o agente da ameaça pede uma doação de caridade. O criminoso pede que você clique no link incluído e insira as informações do cartão de crédito, o endereço e, frequentemente, o seu número de seguro social. Depois que obtém o número do seu cartão de crédito, o criminoso pode até cobrar mensalmente em seu cartão de crédito para evitar alarmes.

Outro exemplo de ataque de smishing é uma oferta de seu provedor propondo um desconto em um serviço ou atualização de telefone. A mensagem pede que você clique no link fornecido para ativar a oferta. Uma vez na página falsificada que se parece com o site do seu provedor, o site pede que você confirme o número do seu cartão de crédito, endereço e, possivelmente, número do seguro social. Lembre-se, se parece bom demais para ser verdade, provavelmente é.

O phishing usando freeware de mensagens instantâneas como o Facebook Messenger ou o WhatsApp não se enquadra tecnicamente no smishing, mas está intimamente relacionado. O criminoso explora o nível de conforto crescente que os usuários têm ao abrir mensagens e responder a estranhos por meio de plataformas de mídia social.

Como um verdadeiro esquema de phishing, o objetivo do ataque é fornecer dados pessoais, incluindo senhas e/ou números de cartão de crédito, ao agente da ameaça. Para obter essas informações, o invasor pode oferecer a você uma oferta ou algo de valor. Um link clicável costuma ser incluído nessas ofertas.

Embora uma mensagem de um estranho em busca de informações geralmente seja um bom indicador de um possível esquema de phishing de mensagens instantâneas, esses ataques podem parecer vir de pessoas que você conhece e com as quais já está conectado. Isso geralmente acontece quando a conta de um contato de mídia social é invadida ou falsificada.