Engenharia social: o que é smishing?

smishing social engineering attack

Sumário

Compartilhe este artigo:

Smishing é um ataque de engenharia social usando técnicas de phishing, mas enviado por mensagem de texto em vez de e-mail. O nome é uma combinação de SMS e phishing.

Neste post, você descobrirá como reconhecer ataques de smishing e alguns conselhos para protegê-lo contra isso.

Mailfence - Obtenha seu e-mail seguro e gratuito.

4.1 baseado em 177 avaliações de usuários

Mailfence - Get your free, secure email today.

4.1 based on 177 user reviews

O que é smishing?

Smishing (a portmanteau word made of the expressions SMS and phishing) é outra sengenharia social estratagema. É uma técnica de phishing envolvendo uma mensagem de texto maliciosa. Em outras palavras, é uma ameaça cibernética com o objetivo de enviar um vírus ou fazer com que você faça algo prejudicial a si mesmo por meio de uma mensagem de texto.

Nós tendemos a ser mais reativos com nossos telefones. Responderemos espontaneamente a qualquer mensagem. Os hackers sabem disso. Ao usar mensagens de texto de telefone celular (SMS), eles tentam induzi-lo a tomar uma ação imediata.

Muitos ataques de smishing combinam um SMS e um ‘falso senso de urgência’ para aproveitar essa tendência com mais eficiência. O SMS malicioso enviado está transmitindo uma sensação de emergência para atrair as vítimas a agir ainda mais rapidamente.

Os atacantes gostam particularmente de smishing, pois é um ataque de baixo custo. Um servidor de sistema de telefonia via Internet (VoIP), um telefone celular gravador e um spoofing método: é tudo o que você precisa para enviar um vírus por meio de mensagens de texto direcionadas. Com aplicações como BurnerAppSpoofCard, é fácil e barato comprar um número falsificado para enviar mensagens de texto.

Quais são os riscos para o smishing?

Como muitas ameaças cibernéticas, um ataque de smishing visa roubar seus dados pessoais, detalhes de contas bancárias, senhas ou acesso a sites. Às vezes, também procura enganá-lo para fazer algo: transferir dinheiro, dar autorização ou acesso a alguém, por exemplo. Este pode ser um ataque em massa (várias pessoas como você receberão o mesmo SMS) ou um ataque muito direcionado preparado com antecedência comparável a spear phishing (você será o único a receber a mensagem de texto).

Smishing pode levar você a visitar um site malicioso destinado a roubar suas credenciais ou dados pessoais. Alternativamente, você pode ser levado a ligar para um número de telefone fraudulento. A partir de então, os cibercriminosos no telefone também poderiam lançar um Ataque Pro Quo or a Ataque pretexto contra você para obter algumas informações confidenciais. Para isso, eles se passariam por um gerente de sua empresa, um policial, um segurança para pedir suas credenciais.

Mas o risco mais comum é baixar um vírus através da mensagem de texto enviada, ou qualquer outro tipo de malware, como um cavalo de Tróia. Isso pode transformar seu telefone em um zombie, permitindo que hackers o controlem. Como um dispositivo zumbi, pode se tornar parte de a botnet, e usado para lançar um Distributed Denial-of-Service (DDoS) ataque, ou para enviar algum spam, …etc.

Examplos de smishing

Cenário#1

Neste exemplo, uma mensagem de texto maliciosa para “Atualize as informações para evitar a suspensão da conta”.

Engenharia social: o que é smishing?
SMS smishing

(Tradução do SMS: “(Wells Fargo update) Lamentamos informar que sua conta do Wells Fargo está suspensa Atualize suas informações pessoais em: http://login-wells.com”

Cenário#2

Neste segundo exemplo, o SMS enviado diz para você optar por não participar de algo, ou correrá o risco de ter algum tipo de cobrança a pagar.

“Caro usuário,
Você será cobrado 25 euros por semana, sob o novo regulamento de fornecimento de energia elétrica. Se você quiser optar por não participar, visite www.smished.com (link de exemplo)
Cumprimentos,
Sua empresa de fornecimento de energia elétrica”

Cenário#3

Este terceiro exemplo é uma espécie de ataque isca : a mensagem de texto maliciosa informa ao alvo que eles podem obter vouchers gratuitos.

Caro usuário,
O Aldi está oferecendo um voucher gratuito de £ 65 na sua próxima visita ao Aldi.
Por favor, registre-se em www.smished.com (link de exemplo) para reservar seu voucher com antecedência”

Uma amostra de um prompt automatizado associado a esses ataques de smishing pode ser encontrada aqui.

Como reconhecer o smishing?

Qualquer SMS proveniente de um número de telefone que não se pareça com um número de telefone, como “0420” – pode ser um sinal de que essa mensagem de texto é, na verdade, um e-mail enviado para um telefone. Isso também pode significar que é um ataque de smishing e que o texto enviado pode conter um vírus. Na verdade, alguns hackers usarão um serviço de email para texto para enviar seu vírus de mensagem de texto ou qualquer outro tipo de SMS malicioso para ocultar seus números de telefone reais.

Outro método de smishing usa falsificação de números. Os hackers comprarão uma cópia falsa de um número de telefone real para fazer com que sua mensagem de texto apareça em um segmento existente de mensagens genuínas do banco, loja etc. Além disso, os invasores também usam Flash SMS,para chamar imediatamente a atenção dos destinatários (por exemplo, para alertas de emergência, alertas de trânsito – ou para receber códigos de acesso único, etc.).

Como se proteger contra o smishing?

  • Não clique em links que você recebe por SMS em seu telefone, a menos que você conheça a pessoa de quem eles estão vindo. Pode ser um site falso criado para coletar seus dados pessoais, senha de conta bancária ou credenciais sem levantar suspeitas.
  • Tenha muito cuidado com as mensagens pedindo que você tome medidas imediatas. Não se sinta pressionado a responder; na maioria dos casos, organizações legítimas lhe dão tempo para reagir. Certifique-se primeiro de que essas mensagens vêm de uma fonte confiável. Se necessário, confirme sua origem ligando diretamente para o remetente, depois de procurar seu número de telefone em seu site. Além disso, geralmente você pode encontrar o número do seu banco no verso do seu cartão.
  • Mesmo que você receba uma mensagem de texto contendo um link de um amigo, verifique primeiro com o remetente antes de clicar no link.
  • Seja cauteloso com números de telefone curtos incomuns. Eles podem ser emitidos por serviços de e-mail para texto, usados por hackers para ocultar seu número de telefone real.
  • Nunca instale nenhum aplicativo clicando em uma mensagem de texto. Sempre use a loja de aplicativos oficial para instalar aplicativos.
  • Nunca forneça informações pessoais ou financeiras por SMS ou telefonema.
  • Não responda a mensagens de texto vindas de pessoas que você não conhece.
  • Evite gravar qualquer informação bancária ou número de cartão em seu telefone. Mesmo que seu telefone seja vítima de um vírus criado por meio de um ataque de smishing, os hackers não poderão roubá-los.
  • Se você é uma organização, treine sua equipe seguir nossos conselhos e reconhecer todas as ameaças cibernéticas e aplicar as regras de segurança cibernética. Devem abster-se de enviar dados confidenciais por telefone ou e-mail.
  • Se você foi vítima de smishing ou sabe que alguém usou seu nome para um ataque de smishing, você também pode denunciar o roubo de identidade em: https://www.identitytheft.gov/.

Conclusão

Você nunca deve confiar espontaneamente em uma mensagem de texto aparentemente vinda do seu banco, do seu empregador ou mesmo de um amigo, incluindo um link para baixar um aplicativo ou para levá-lo a um site. Normalmente, é improvável que as organizações oficiais entrem em contato com você por mensagens de texto. Pode ser um ataque smishing, uma ameaça cibernética iniciada por um SMS contendo um vírus ou malware ou um convite para fazer algo prejudicial a você. Em vez disso, verifique cuidadosamente esta mensagem e evite instalar qualquer aplicativo ou seguir qualquer link.

Quase todas as mensagens de texto que você recebe vão ficar bem. Mas é preciso apenas um mau para comprometer sua segurança!

Mailfence tem um Curso de conscientização sobre segurança e privacidade de e-mail para ensiná-lo a evitar dar acesso a pessoas erradas ou ter seus dados pessoais roubados ou expostos sem o seu consentimento. Aprenda agora como se proteger contra todas as ameaças cibernéticas! A educação é a chave para combater a engenharia social.

Recupere sua privacidade de e-mail.

Crie seu e-mail gratuito e seguro hoje.

Picture of M Salman Nadeem

M Salman Nadeem

Salman trabalha como analista de segurança da informação na Mailfence. Suas áreas de interesse incluem criptografia, arquitetura e design de segurança, controle de acesso e segurança de operações. Você pode segui-lo no LinkedIn @mohammadsalmannadeem.

Recomendado para você