Estamos cada vez mais conscientes do problema do phishing, mas o que sabemos sobre o smishing? Muitas vezes um passo à frente, os hackers rivalizam em criatividade!
Estamos cientes do risco de descarregar aplicações maliciosas, mas será que estamos suficientemente sensibilizados para os riscos associados ao smishing? Após décadasde envio de e-mails fraudulentos (spam, scams, fraude do presidente...), os piratas informáticos estão agora a voltar-se também para a fraude por SMS. E com razão! Muitos utilizadores, embora estejam cientes dos riscos associados ao phishing, continuam pouco vigilantes quando se trata de consultar as suas mensagens SMS.
O smishing em números
A taxa de leitura de uma mensagem SMS ronda os 95%. (Médiamétrie)
O SMS torna-se, assim – juntamente com o e-mail –, um dos canais de comunicação preferidos pelos piratas informáticos para «phishar» os utilizadores e/ou introduzir os seus malwares (cavalos de Tróia, vírus…) num sistema digital.
A LookOut, especialista em segurança móvel, indica que, em 2020, os ataques de phishing por SMS aumentaram 37%. Além disso, tendo em conta o número de dispositivos móveis, este tipo de ataque pode custar até 150 milhões de dólares.(fonte: globalsecurity mag).
O que é o smishing?
O «smishing», uma contracção de «SMS» e «phishing», consiste no envio de uma mensagem para um telemóvel solicitando uma acção, como o envio de dados confidenciais (dados pessoais, informações financeiras, números de conta, códigos secretos…), ligar de volta para um número com urgência, clicar num link, anexo ou imagem fraudulenta e/ou ser redirecionado para um site malicioso.
Os fraudadores utilizam as mesmas táticas e características dos e-mails de phishing para enganar os utilizadores e levá-los a agir:
- Recorrer a instituições ou organismos de confiança (bancos, repartições fiscais, organizações de utilidade pública, prestadores de serviços…)
- a manipulação psicológica: urgência, entusiasmo, curiosidade, medo, confiança, ansiedade, empatia…
Tal como acontece com os ataques de phishing, as consequências podem ser desastrosas: roubo de dados, usurpação de identidade, espionagem, obtenção de palavras-passe, códigos e dados bancários.
Como proteger-se de uma mensagem SMS fraudulenta?
- Mantenha-se atento quando o número de telefone for suspeito.
- Pesquisar na Internet para verificar se se trata de um número legítimo ou de uma tentativa de smishing.
- Ligue apenas para números válidos e oficiais.
- Não responda a mensagens de texto que sugiram urgência, solicitem códigos, dados de identificação, alteração de palavra-passe…
- Evite clicar em links, anexos ou imagens recebidos por SMS. Se for uma pessoa conhecida (colega, superior, amigo…) que enviar um ficheiro ou um link inesperado : verifique sempre contactando diretamente o remetente em questão.
- Evite descarregar ou instalar aplicações a partir de um link enviado por SMS.
- Nunca forneça informações, dados confidenciais, pessoais ou profissionais.
- Não reenvie mensagens de SMS (correntes, petições, notícias falsas).
- Em caso de dúvida, nunca carregue.
Sabemos disso. Até hoje, o ser humano continua a ser o elo mais fraco da cibersegurança. Tanto mais que os canais de ciberataques, verdadeiras «oportunidades» para os cibercriminosos, estão a multiplicar-se. E, de facto, as formas de fraude desenvolvem-se e evoluem à medida que a tecnologia avança: o phishing, o smishing, mas também o vishing (phishing por voz através do telefone) são, portanto, ameaças às quais as organizações correm o risco de ser confrontadas um dia e contra as quais devem estar preparadas.
É, portanto, urgente que o ser humano se torne um trunfo fundamental de qualquer organização. Rodear-se de colaboradores informados e atentos, sensibilizados para a cibersegurança e formados para saber contornar as armadilhas do phishing, independentemente da forma como este se manifesta (e-mail, SMS ou telefone), é a chave para a ciber-resiliência de qualquer organização.
