Em era-a digital, a segurança converteu-se numa preocupação a cada vez mais importante. Os ciberdelincuentes estão sempre ao espreito, desenhando e executando práticas para fazer a cair em suas armadilhas digitais a milhões de utentes expostos.
Uma dessas tácticas é o smishing, com o que os delinquentes podem roubar dinheiro ou informação pessoal a suas vítimas através de um simples SMS ao telefone móvel. Trata-se de uma das técnicas mais comuns e perigosas em era-a digital.
Que é o smishing
O smishing é uma técnica que consiste no envio de um SMS por parte de um ciberdelincuente a um utente simulando ser uma entidade legítima -rede social, banco, instituição pública, etc. -com o objectivo de roubar-lhe informação privada ou realizar-lhe um cargo económico.
Ao igual que os ataques de phishing baseados no correio electrónico, estas mensagens enganosas costumam parecer proceder de fontes fiáveis e utilizam tácticas de engenharia social para criar uma sensação de urgência, curiosidade ou medo com o fim de manipular ao destinatário para que realize uma acção não desejada.
Como funciona
Geralmente a mensagem convida a chamar a um número de tarificación especial ou aceder a um enlace de um site falso baixo um pretexto. A maioria dos ataques smishing funcionam igual que o phishing por correio electrónico. Estes ataques utilizam uma combinação de manipulação tecnológica e tácticas psicológicas para enganar às vítimas.
Primeiro, os ciberdelincuentes seleccionam as vítimas, que pode ser de forma aleatória ou específica, se dirigindo a indivíduos se baseando em dados obtidos de violações anteriores ou informação vendida na dark site.
Elaboração da mensagem
Uma vez seleccionam-se as vítimas, elaboram a mensagem com um texto enganosos que invoca a uma emoção ou reacção específica como a urgência, o medo ou a curiosidade. Acto seguido enviam-se as mensagens utilizando passar-lhes de SMS e ferramentas de suplantación de identidade.
Ao receber a mensagem, solicita-se à vítima que realize uma acção. Isto pode ser clicar num enlace proporcionado ou responder com informação pessoal. Os ciberdelincuentes recopilam os dados ou despliegan o malware para utilizar depois a informação roubada. Finalmente, para continuar suas operações sem ser detectados, os atacantes mudem frequentemente de táctica utilizando diferentes números de telefone e empregando diversas técnicas para enmascarar sua identidade e localização.
Exemplos
Há vários exemplos de ataques de smishing. Podem pretender ser parte de uma entidade bancária e informar à vítima sobre uma actualização de dados ou um problema com sua conta e enviar-lhes um enlace para que ingressem informação privada. Em outras ocasiões também se pode suplantar ao Governo ou a uma instituição pública para roubar dados pessoais como o número de segurança social.
Outra estratégia comum é pretender que se trata de um agente de atenção ao cliente de uma empresa amplamente conhecida para informar de um reembolso a reclamar ou um problema com a conta. Também se suplanta frequentemente a empresas de envios de pacotes informando que há um problema com algum envio e há que ingressar uma conta para verificar o problema.
Diferença com o phishing
Por um lado, o phishing utiliza correios electrónicos aparentemente reais com um enlace que insta a introduzir informação como o nome completo, número de segurança social ou o número de cartão de crédito.
Enquanto, o smishing emprega mensagens de texto ou aplicativos de transportadora comuns, como WhatsApp, para contactar a indivíduos desprevenidos. As mensagens costumam ir acompanhados de um enlace ou a URL de um lugar site no que os estafadores solicitam dados pessoais e bancários.
Como evitar que te defraudem
As mensagens de smishing são perigosos somente se o utente objectivo empreende uma acção, como clicar no enlace ou enviar dados privados ao atacante. Para evitar ser vítima desta táctica há que ter em conta uma série de factores para os identificar.
Não há que se fiar de mensagens de desconhecidos por muito que possam ter aparência de confiança. Não se devem abrir enlaces a páginas site que vão adjuntos a uma mensagem. O banco nunca pedirá dados num SMS ou um telefonema. Não trates de responder a esse SMS ou chamar, já que a armadilha também pode estar aí e ter algum tipo de tarificación especial. Contacta sempre com a entidade que tem enviado a mensagem em caso de dúvidas, reporta a mensagem como SPAM e bloqueia o número.
Que fazer se se foi vítima (como o denunciar)
Como norma geral ante qualquer situação de ser vítima de fraude, o primeiro que há que fazer é denunciar ante a polícia o sucedido. De igual forma, aconselha-se reportar o acontecimento à entidade usurpada para que também se unam à investigação. Reportá-lo ante o banco é chave, tenha sido a fraude com eles ou não, já que se os delinquentes têm acedido à conta bancária ou têm dados do cartão, terá que anular qualquer possível movimento não autorizado, bem como bloquear os cartões.
No caso de que a fraude tenha tido que ver com algum aplicativo descarregado, é aconselhável restaurar por completo o móvel e o deixar em estado de fábrica. Esta é a forma mais eficaz de se assegurar de que se eliminam todos os arquivos infectados. Isso sim, dantes disso se recomenda fazer capturas de ecrã e recopilar toda a informação finque que possa te solicitar a polícia para acometer a investigação.