O que é smishing? Saiba tudo!

Smishing é um tipo de golpe mais comum do que se imagina. Você já recebeu alguma mensagem de texto do seu banco? Um alerta para cancelar alguma compra que você não fez, alguma solicitação de regularização de seu cadastro ou a requisição de algum dado pessoal? Provavelmente, você foi vítima dessa prática.

O golpe também pode acontecer quando alguma pessoa mal intencionada se passa por um parente ou amigo seu, pedindo para que clique em links desconhecidos ou que envie dinheiro para ajudá-lo em caso de alguma emergência.

Será que é possível identificar um SMS falso apenas olhando para seus detalhes? Ao estudarmos bem como este golpe funciona, fica mais fácil manter a segurança de seus dados e não se tornar uma vítima.

Neste post, você vai entender melhor o que é smishing e como se proteger de todos os seus perigos.

Afinal, o que é smishing?

A palavra “smishing” vem da combinação de “SMS” com “phishing”, a prática de roubar informações pessoais ou financeiras por meio de alertas ou contatos enganosos. Basicamente, trata-se de um tipo de phishing feito por mensagens de texto, em dispositivos móveis.

O criminoso executa o ataque com a intenção de coletar informações pessoais (como o número da conta bancária ou números de cartão de crédito) ou fazer a vítima clicar em links suspeitos.

Apesar de muita gente ter trocado os SMS pelos aplicativos de mensagens instantâneas (como WhatsApp e Telegram), este tipo de golpe ainda é muito comum no Brasil e já fez mais de 150 milhões de vítimas apenas em 2021. Os números ilustram uma realidade na qual a maioria das pessoas está muito mais propensa a confiar em uma mensagem de texto do que um e-mail, por exemplo.

Segundo informações da Federação Brasileira de Bancos (Febraban), a pandemia causada pelo coronavírus criou um cenário muito mais propício para a disseminação desses golpes. Cerca de 73% das tentativas de phishing foram feitas por disparos de SMS, que continham as palavras “Covid” (39%), “auxílio” (36%) e “Caixa” (33%). A ideia era que os criminosos se aproveitassem da vulnerabilidade social para oferecerem falsas oportunidades de concessão do auxílio emergencial.

Como o smishing funciona?

Entender o que é smishing vai muito além de classicá-lo como um phishing feito via SMS. Vários métodos e abordagens diferentes podem ser cuidadosamente planejados para o roubo de dados.

Na maioria das vezes, os cibercriminosos costumam usar um dos métodos abaixo para cometer fraudes.

Malware

O link contido na mensagem pode te induzir a baixar um software malicioso em seu celular. Este malware de SMS pode se disfarçar como um aplicativo legítimo, induzindo-o a digitar informações confidenciais e enviar esses dados aos criminosos.

Solicitação direta de informações pessoais ou financeiras

As mensagens de smishing muitas vezes pretendem ser uma instituição bancária, solicitando informações pessoais ou financeiras (sua conta ou número do caixa eletrônico, por exemplo). Com base nos dados fornecidos, fica mais fácil clonar cartões ou usar a sua identidade para realizar compras.

Em outros casos, os criminosos também podem solicitar o envio direto de uma transferência ou Pix, enquanto se passam por uma pessoa de confiança (como um amigo ou familiar) diante de uma situação de emergência.

Páginas fraudulentas

Outro problema com o link presente na mensagem de smishing é que ele pode te levar para um site falso, que requer que você preencha um formulário ou digite informações pessoais confidenciais. Os cibercriminosos usam sites maliciosos feitos sob medida, projetados para imitar sites confiáveis.

O conteúdo dessas mensagens pode variar bastante, mas é importante ter atenção aos anúncios de sorteios e promoções falsas, principalmente aquelas que solicitam o envio de alguma informação em um curto prazo. Os criminosos geralmente utilizam os nomes de grandes empresas, e se passam pela sua instituição bancária (Caixa, Itaú, Santander…) ou até mesmo pela sua operadora de celular (Tim, Claro, Vivo, entre outras).

Também é muito comum a abordagem de falsas vagas de emprego ou concursos. Se você receber um anúncio de vaga sem muitas especificações além do salário, ou com links desconhecidos inclusos, é possível que seja apenas um chamariz para mais um golpe.

Quais são os sinais de alerta?

Com a ascensão do home office e a utilização de dispositivos pessoais para o trabalho, o smishing não está se tornando apenas uma ameaça pessoal, mas também é perigosa para os negócios. Já que muitas pessoas não conhecem uma maneira fácil de verificar a autenticidade de URLs em smartphones, esses usuários muitas vezes são redirecionados para páginas suspeitas.

A melhor maneira de conter esses ataques é ter atenção. É preciso desconfiar ao receber SMS com algumas características suspeitas, como as listadas abaixo.

• A mensagem oferece dinheiro (ou algum prêmio) rápido, após a inserção de determinadas informações.
• O texto pede que você clique em um link para resolver um problema, ou acessar algum serviço.
• A mensagem afirma ser de uma agência governamental. É preciso ter em mente que órgãos governamentais quase nunca iniciam contato com alguém por mensagens de texto.
• O SMS foi enviado de um número com poucos dígitos. Isso indica que provavelmente veio de um endereço de e-mail, o que é um sinal de SPAM.
• O conteúdo da mensagem oferece testes, tratamento ou ajuda financeira relacionada ao coronavírus, ou solicita dados pessoais para rastreamento de contato.
• O texto da mensagem apresenta erros de gramática, ortografia ou digitação.
• A mensagem é enviada em nome do seu banco. Embora essas empresas possam enviar mensagens de texto de vez em quando, quase nunca exigirão que os clientes respondam com informações pessoais.

Como se proteger?

Ao contrário de vírus ou malwares, receber uma mensagem de smishing não é perigoso, a menos que você a responda ou acesse no hiperlink incluído. Basicamente, apenas ignore a mensagem e marque-a como SPAM (se o seu aparelho permitir), e nada mais deve acontecer.

Com a exceção da instalação de um software de segurança especializado, não existe nenhum método 100% eficaz para evitar o recebimento desse tipo de golpe, mas algumas práticas pode ajudar a manter a segurança do seu dispositivo.

Bloqueie e denuncie

Caso receba alguma mensagem suspeita, é importante denunciá-la para não sofrer com o mesmo problema novamente. Para isso, abra sua caixa de mensagens e toque no ícone de três pontos, localizado no menu superior. Lá, você provavelmente encontrará uma opção voltada para o bloqueio e denúncia da mensagem recebida.

Outra dica é encaminhar o conteúdo indesejado para 7726 (as teclas que formam a palavra “SPAM” em seu teclado).

Acione a organização diretamente

Se você tiver uma conta com o serviço que entrou em contato com você via SMS, o recomendado é fazer login manualmente, digitando o endereço da empresa em seu navegador da web.

Se a mensagem for real, você provavelmente verá uma notificação que contém a mesma mensagem. Caso contrário, desconfie. Pode ser um golpe. A maneira mais eficaz de determinar se uma mensagem é ou não genuína é ligando para a organização, discando um número de telefone confiável (provavelmente aquele indicado no site oficial).

Inspecione o link

Existe uma maneira de ver para onde vai o link presente na mensagem sem visitar o site. Basta segurar o botão referente ao hiperlink em vez de tocar nele. Um pop-up aparecerá mostrando o endereço de destino.

Você também terá a opção de copiá-lo, colar em seu navegador e incluir um “+” para ver uma prévia do site. A partir daí, você pode revisar o domínio e determinar se ele é suspeito.

Conte com uma ferramenta de proteção

Muitos antivírus não incluem a proteção contra smishing, mas algumas soluções mais robustas, com filtros integrados para captura de links suspeitos já estão disponíveis no mercado. Ao pesquisar por um aplicativo de segurança, certifique-se de que aquela ferramenta conta com proteção total anti-phishing, como o dfndr security.

Por fim, se você descobriu os perigos de smishing tarde demais (já tendo clicado em um hiperlink, ou mesmo inserido seus dados pessoais na mensagem), entre em contato com seu banco imediatamente e informe o que aconteceu. Como precaução, você deve bloquear seu cartão de crédito ou débito e até solicitar um novo.

Agora que você já sabe o que é smishing e como se defender dessa ameaça, aproveite para se informar sobre outra mensagem igualmente indesejada: o SPAM. Acesse o nosso blog post e confira dicas sobre como evitar o recebimento desse tipo de SMS.