No atual panorama digital, surgiu uma ameaça que visa os nossos dispositivos mais pessoais: o smishing. Esta forma de cibercrime explora a utilização generalizada de smartphones para enganar indivíduos desprevenidos através de mensagens SMS fraudulentas. À medida que mais pessoas dependem dos seus dispositivos móveis para comunicar e efetuar transacções, as fraudes de smishing tornaram-se cada vez mais comuns e sofisticados, representando um risco significativo para a segurança pessoal e financeira.
Fraudes de Smishing: defenda-se do phishing por SMS!
A ascensão do smishing na era digital
Evolução dos ataques de phishing
Nos últimos anos, os burlões mudaram o seu foco do phishing tradicional baseado em correio eletrónico para métodos mais sofisticados que visam dispositivos móveis. Esta evolução deu origem ao smishing, uma forma de phishing que explora as plataformas de SMS e de mensagens de texto. Como as pessoas dependem cada vez mais dos smartphones para comunicação e transacções, os atacantes adaptaram as suas estratégias para explorar esta tendência.
Porque é que o smishing está a tornar-se mais frequente
A crescente prevalência do smishing pode ser atribuída a vários factores. Em primeiro lugar, a adoção generalizada de smartphones e aplicações de mensagens criou um terreno fértil para estes ataques. Em segundo lugar, as mensagens de smishing contornam frequentemente os filtros de correio eletrónico e as medidas de segurança, tornando mais provável que cheguem aos seus alvos. Além disso, a natureza pessoal das mensagens de texto e o sentido de urgência que podem criar tornam os destinatários mais susceptíveis de cair nestas fraudes.
Estatísticas sobre incidentes de Smishing
Estudos recentes revelaram estatísticas alarmantes sobre o aumento do smishing:
- Em 2022, foi observado um aumento de 61% nos ataques de phishing em comparação com o ano anterior, com mais de 255 milhões de ataques registados.
- Os dispositivos móveis registaram um aumento de 50% nos ataques, sendo as burlas e o roubo de credenciais os principais objetivos.
- Em 2021, 74% das empresas relataram ataques de smishing, contra 61% em 2020.
Os ataques de smishing aumentaram 328% em 2020, com 76% das empresas visadas em um único ano.
Estas estatísticas sublinham a crescente ameaça do smishing e a necessidade de uma maior consciencialização e de medidas de segurança para combater esta forma de cibercrime em evolução.
Anatomia de um ataque de smishing
Seleção do alvo
Os burlões escolhem cuidadosamente os seus alvos para os ataques de smishing. Este processo de seleção pode ser aleatório ou específico. Nos ataques aleatórios, os piratas informáticos utilizam uma vasta lista de números de telefone para lançar uma vasta rede. Para ataques mais direccionados, podem utilizar dados obtidos de violações anteriores ou informações vendidas na dark web para selecionar indivíduos específicos.
Elaboração da mensagem enganosa
Uma vez seleccionados os alvos, os atacantes criam mensagens de texto enganosas concebidas para invocar emoções ou reacções específicas, como a urgência, o medo ou a curiosidade. Estas mensagens fazem-se frequentemente passar por fontes de confiança, como bancos, agências governamentais ou marcas populares. Normalmente, incluem um apelo à ação, como clicar num link ou ligar para um número, e podem alegar tratar-se de assuntos urgentes, como problemas de segurança da conta ou notificações de entrega de encomendas.
Métodos de entrega
Os ataques de smishing utilizam vários métodos de entrega para atingir os seus alvos. Os atacantes podem utilizar gateways de SMS, ferramentas de spoofing ou dispositivos infectados para enviar as suas mensagens fraudulentas. Empregam frequentemente técnicas para mascarar a sua identidade e localização, mudando frequentemente de tática e utilizando diferentes números de telefone para evitar a deteção.
Recolha e exploração de dados
Se uma vítima interage com a mensagem de smishing, podem ocorrer vários resultados. A vítima pode ser direccionada para um site fraudulento onde lhe é pedido que introduza dados pessoais ou financeiros. Em alternativa, podem descarregar, sem saber, software malicioso para o seu dispositivo. Em alguns casos, as vítimas podem telefonar para um número fornecido e ser enganadas para partilhar verbalmente informações sensíveis ou incorrer em encargos.
Quando os atacantes obtêm as informações desejadas, podem utilizá-las para vários fins maliciosos. Estes podem incluir roubo de identidade, transacções não autorizadas, venda dos dados no mercado negro ou lançamento de outros ataques direccionados. O objetivo final do smishing é enganar indivíduos incautos para que forneçam as suas informações pessoais ou tomem medidas que ponham em risco a sua segurança.
Smishing vs. Outras Ameaças
Comparação entre Smishing, Phishing e Vishing
Smishing, phishing e vishing são todas formas deameaças que têm como objetivo enganar indivíduos e obter informações sensíveis. Enquanto o phishing utiliza principalmente o correio eletrónico, o smishing explora SMS ou mensagens de texto, e o vishing envolve chamadas telefónicas ou mensagens de voz fraudulentas. Os ataques de smishing contêm frequentemente ligações que conduzem a sítios Web maliciosos ou descarregam malware para o dispositivo da vítima. Os e-mails de phishing seguem normalmente um padrão semelhante, enquanto as fraudes de vishing podem utilizar chamadas automáticas pré-gravadas para se fazerem passar por empresas legítimas.
Desafios únicos dos ataques baseados em telemóveis
Os dispositivos móveis apresentam vulnerabilidades únicas que os cibercriminosos exploram através de ataques de smishing. Os utilizadores têm muitas vezes uma falsa sensação de segurança quando utilizam smartphones, assumindo que são mais seguros do que os computadores. Além disso, as pessoas tendem a utilizar os seus telefones em movimento, muitas vezes quando estão distraídas ou com pressa, o que as torna mais susceptíveis de cair em esquemas fraudulentos. A natureza pessoal das mensagens de texto e o sentido de urgência que criam também contribuem para a eficácia dos ataques de smishing.
Porque é que o smishing pode ser mais eficaz
Entretanto o smishing tem várias vantagens em relação a outras ameaças, o que o torna potencialmente mais eficaz:
Contornar as medidas de segurança: Os textos de smishing contornam frequentemente os filtros de correio eletrónico e os protocolos de segurança, aumentando as suas hipóteses de atingir os alvos.
Explorar a confiança: As pessoas geralmente confiam mais nas mensagens de texto do que nos e-mails, pois associam-nas a uma comunicação pessoal.
Criar urgência: Os ataques de smishing utilizam frequentemente mensagens sensíveis ao fator tempo para solicitar uma ação imediata das vítimas.
Tirar partido das vulnerabilidades dos telemóveis: Ao contrário do tráfego da Web, que normalmente utiliza HTTPS encriptado, as mensagens SMS podem ser facilmente interceptadas, o que as torna mais vulneráveis a ataques.
Explorar a distração: Os utilizadores móveis são frequentemente menos vigilantes quando utilizam os seus dispositivos, o que os torna mais propensos a cair em esquemas fraudulentos.
Conclusão
À medida que o panorama digital continua a evoluir, o smishing surgiu como uma séria ameaça à nossa segurança pessoal e financeira. O aumento da utilização de smartphones e a natureza pessoal das mensagens de texto tornaram esta forma de cibercrime cada vez mais comum e eficaz. Ao compreender a anatomia dos ataques de smishing e a forma como diferem de outras ameaças, os indivíduos e as organizações podem proteger-se melhor contra estas práticas enganosas.