Uma mensagem de texto perversa pode estar a caminho de um smartphone perto de você. Muitas vezes, essa mensagem diz ser de seu banco e solicita suas informações pessoais ou financeiras, como o número da conta ou a senha do cartão. Fornecer essas informações é como dar aos bandidos a chave de seu saldo bancário.
O termo smishing é uma combinação de “SMS” (short message services, ou mensagens de texto) e “phishing”. No phishing, o criminoso virtual envia e-mails fraudulentos que buscam induzir o destinatário a abrir um anexo com malware ou clicar em um link malicioso. O smishing basicamente usa mensagens de texto no lugar de e-mails.
O que os remetentes de smishing usam como isca
As mensagens de textos são o recurso mais usado dos smartphones. A Experian descobriu que usuários adultos de dispositivos móveis, com idades entre 18 e 24 anos, enviam mais de 2.022 mensagens de texto por mês — em média, 67 por dia — e recebem 1.831.
Dois outros fatores tornam essa ameaça de segurança especialmente traiçoeira. A maioria das pessoas conhece um pouco os riscos das fraudes por e-mail. Provavelmente você já desconfia de e-mails que dizem “Olá! Dê uma olhada neste link interessante”, sem uma mensagem pessoal do suposto remetente.
No telefone, as pessoas são menos cautelosas. Muitas acreditam que seus smartphones são mais seguros do que os computadores. Mas a segurança dos smartphones é limitada e não oferece proteção direta contra smishing. Conforme observado pela WillisWire, o crime virtual direcionado a dispositivos móveis está aumentando muito, junto com o uso desses dispositivos. Entretanto, embora os dispositivos Android sejam o principal alvo de malware, simplesmente pela quantidade existente e pela flexibilidade que a plataforma oferece aos clientes (e aos criminosos virtuais!), o smishing, como o próprio SMS, atinge as várias plataformas. Os usuários de iPhones e iPads correm risco especificamente por acharem que estão imunes a ataques. Embora a tecnologia iOS da Apple para dispositivos móveis seja reconhecida pela segurança, nenhum sistema operacional é capaz de se proteger sozinho contra ataques como phishing. Outro fator de risco é que você usa o smartphone em qualquer lugar, geralmente quando está distraído ou com pressa. Isso significa que você está mais propenso a ser pego desprevenido e a responder sem pensar quando recebe uma mensagem que solicita informações bancárias ou o resgate de um cupom.
O que querem os remetentes de smishing?
Resumindo, assim como a maioria dos criminosos virtuais, eles querem roubar seus dados pessoais, que serão usados para depois roubar dinheiro, seu ou, às vezes, da sua empresa. Os criminosos virtuais usam dois métodos para roubar esses dados. Eles podem fazê-lo a baixar um malware que se instala no telefone. Esse tipo de malware pode se passar por um aplicativo legítimo, induzindo-o a digitar informações confidenciais e enviá-las aos criminosos virtuais. Por outro lado, o link na mensagem de smishing pode levar você para um site falso, que solicita a inserção de informações pessoais sigilosas que os criminosos virtuais usarão para roubar sua identidade on-line.
Quanto mais pessoas usam seus smartphones pessoais no trabalho (uma tendência chamada de BYOD, ou “traga seu próprio dispositivo”), mais o smishing se torna uma ameaça para a empresa e para o cliente. Por isso não é de surpreender que, segundo a Cloudmark, o smishing se tornou a principal forma de mensagens de texto maliciosas
Proteja-se
A boa notícia é que as possíveis ramificações desses ataques são fáceis de combater. Na verdade, para se proteger, você não precisa fazer absolutamente nada. O ataque só provoca estragos quando você morde a isca. Para se proteger contra esses ataques, é necessário sempre ter em mente algumas coisas.
- Considere como sinais de aviso de uma tentativa de invasão qualquer alerta de segurança urgente e resgates imediatos de cupons.
- Nenhuma instituição financeira ou loja envia mensagens de texto pedindo que você atualize as informações da sua conta ou confirme o código de seu cartão de débito. Se você receber uma mensagem que parece ser do banco ou de uma loja onde costuma comprar pedindo que você clique em um link, é fraude. Se tiver alguma dúvida, ligue para o banco ou a loja.
- Nunca clique em um link de resposta ou um número de telefone de uma mensagem suspeita.
- Procure números suspeitos que não parecem telefones reais, como “5000”. Conforme observado, esses números são vinculados a serviços de e-mail como mensagens de texto, muitas vezes usados por golpistas para evitar informar seus números verdadeiros.
- Não armazene no smartphone informações de cartões de crédito ou de bancos. Sem essas informações, os ladrões não têm o que roubar, mesmo que injetem algum malware no telefone.
- Não morda a isca. Basta não responder.
- Denuncie todos os ataques de smishing ao FCC para tentar proteger outras pessoas.
Lembre-se de que, assim como golpes de phishing por e-mail, o smishing é um crime de trapaça: ele só funcionará se conseguir fazer com que a vítima coopere, clicando em um link ou passando informações. Por isso, a proteção mais simples contra esses ataques é não fazer nada. Se você não responder, o texto malicioso não o afetará. Basta ignorar.