Talvez você já tenha ouvido falar sobre phishing. Essa é uma prática criminosa que usa e-mails falsos para fazer com que usuários passem informações sigilosas, como senhas e contas bancárias. Bem, há mais do que apenas uma forma de phishing. Uma delas se chama “smishing”, que funciona com o envio de SMS falsos para roubar suas informações. Mas não se desespere, pois dá para se proteger contra isso.
O típico SMS de smishing aparenta ter sido enviado por uma entidade legítima, como uma empresa ou uma instituição financeira. O SMS indica que existe um problema com a conta (por exemplo, do site da empresa ou do banco), pedindo ao utilizador para clicar num link para o resolver. Ao clicar no link, o utilizador é levado para um site que aparenta ser o da entidade legítima, mas que na realidade pertence ao atacante. Quando o utilizador insere o seu nome de utilizador e a sua password ou o número de cartão de crédito para resolver o suposto problema, estes dados são enviados directamente para o atacante, sendo que o utilizador não se apercebe de nada. Estes dados serão depois utilizados pelo atacante para aceder à conta do utilizador. Noutros casos, o objectivo de um SMS de smishing é instalar malware no smartphone do utilizador, com o intuito de obter acesso à sua informação privada ou com outros intuitos.
Outro tema comum dos SMSs de smishing é que o utilizador ganhou ou pode ganhar um prémio. Para enviarem SMSs de smishing deste género, atacantes já se fizeram passar por empresas como o Lidl, o Pingo Doce e o Continente.
O smishing, tira partido da confiança que os utilizadores depositam na rede telefónica. A maior parte dos utilizadores, em circunstâncias normais, nunca irá ver informação incorrecta sobre a origem de um SMS. Após anos a ver repetidamente informação correta nos seus telefones, os utilizadores têm total confiança nos números que são mostrados nos ecrãs. No entanto, a realidade é que o atacante pode falsificar um número de telefone ou o nome que aparece como remetente do SMS, fazendo com que este aparente ser originário de uma determinada entidade.
Exemplo de smishing:
Assim como no phishing, sensibilizar os utilizadores para o SMS phishing é a melhor forma de os proteger contra esta ameaça. Neste sentido, seguem-se algumas recomendações:
- Suspeitar de SMSs que não fazem sentido: Pense se o SMS que recebeu pode realmente ter sido enviado pela entidade que aparentemente o enviou. Por exemplo, no caso de um SMS a dizer que existe um problema com a sua conta bancária com um link para resolver o suposto problema, pense: será que se houvesse um problema com a sua conta bancária, o seu banco iria avisá-lo por SMS e enviar-lhe um link para resolver o problema? A resposta é não. Portanto, fica a saber que o SMS não é legítimo. No caso de um SMS a dizer que ganhou um prémio, lembre-se que ninguém dá nada a ninguém. Pense se participou em algum passatempo. Se não participou, fica a saber que este SMS também não é legítimo. No caso de um SMS a dizer que pode ganhar um prémio, pense: será que esta empresa está mesmo a realizar este passatempo? Consulte o site da empresa e as suas páginas nas redes sociais: se não encontrar nenhuma referência ao passatempo, fica a saber que este SMS também não é legítimo.
- Olhar atentamente para os links para verificar se são legítimos: O link pode apontar para um domínio que não é utilizado pela a empresa que supostamente enviou o SMS. Por exemplo, se um SMS que supostamente foi enviado pelo Continente apontar para www.continente-online.pt ou www.continente.eu, ficará a saber que se trata de um SMS de smishing pois o verdadeiro site do continente encontra-se em www.continente.pt. Alguns links podem parecer legítimos à primeira vista, no entanto uma análise mais atenta pode revelar o contrário. Por exemplo, se olhar apenas para a primeira parte do link continente.pt.dominio.com, pode parecer que este aponta para o verdadeiro site do Continente. No entanto, uma análise mais atenta revela que o link aponta para um subdomínio de um domínio que nada tem a ver com o Continente (dominio.com). O link poderá também ser um link de redireccionamento (alojado, por exemplo, num encurtador de URLs como o tinyurl.com ou no bit.ly) e, nesse caso, ao clicar não fará a mínima ideia do site para o qual será levado. Este truque torna-se ainda mais enganador nos smartphones pois a barra de endereços do browser é muito curta e, se o link for suficientemente grande, após o redireccionamento, o utilizador poderá ver apenas a parte do link que parece legítima no seu ecrã. Por exemplo, num SMS de smishing com o link passatempo.continente.pt.dominio.com, o utilizador iria ver apenas passatempo.continente.pt no ecrã, ao invés do link completo (a não ser que carregue na barra de endereços e faça scroll até ver o link na sua totalidade).
- Ter a noção de que o número ou o nome que aparece no seu telefone como remetente de um SMS pode ser facilmente falsificado de forma a que o SMS aparente ser legítimo
- Em caso de dúvida, contacte directamente a entidade que supostamente lhe enviou o SMS (através dos contactos disponíveis no seu site oficial ou num documento que já tenha em sua posse, como um cartão ou uma factura) para confirmar a legitimidade da mensagem