O que é o smishing e como proteger-se?

Smishing: o que é?

O termo smishing combina "SMS" (short message service, relativo às mensagens de texto para telemóvel) e "phishing", uma técnica de cibercrime na qual o hacker, agindo remotamente e geralmente atacando milhares de pessoas anónimas, procura introduzir software malicioso nos computadores ou telemóveis das vítimas. O objetivo pode ser recolher dados pessoais (bancários, fiscais, etc.), controlar o computador à distância, entre outros.

Esta é uma das várias técnicas de engenharia social através das quais os cibercriminosos, recorrendo a padrões de comportamento previsíveis e que afetam um grande número de pessoas, conseguem tirar proveito destes ataques. Ao enviar uma mensagem sensacionalista e alarmante a, por exemplo, 10 000 números de telemóvel, as probabilidades de que dezenas ou centenas de números se deixem enganar são altas. Mesmo que consiga defender-se hoje, poderá ser atacado novamente no futuro. E estes ataques podem ser enviados não apenas a 10 000, mas a muitos mais milhares de números.

O smishing pode também ser usado num ataque de spear phishing, o que se revela mais perigoso por ser dirigido especificamente a si ou à sua empresa. Basta que conheçam o seu número de telemóvel, ou dos seus colaboradores.

Qual é a diferença entre phishing e smishing?

Nenhuma! Smishing não é mais do que phishing por SMS, e daí a semelhança do nome (com as letras “sm” a indicarem precisamente o meio através do qual este golpe de phishing é feito). O conceito de phishing refere-se ao envio de uma comunicação para a vítima tentando enganá-la através de uma promoção falsa, uma notícia escandalosa ou perturbadora, um alerta alarmante (vindo de uma autoridade ou de um banco, por exemplo) ou algo semelhante. A comunicação deve levar a vítima a clicar, sendo que desse modo estará a aceitar a instalação de malware ou algo similar no seu aparelho.

Geralmente, quando falamos do significado de phishing, pensamos no e-mail ou nas redes sociais como meio de “trabalho” do hacker. O smishing é exatamente igual, mas especificamente feito através de SMS.

Exemplos de smishing

Os temas ou assuntos versados em mensagens de smishing são os mais diversos, embora tendam a focar-se em algo que seja do interesse pessoal do recetor. Seja para despertar medo, indignação ou entusiasmo, está sempre presente a ideia de urgência. Vejamos:

• A sua entrega está pronta para levantamento. Verifique aqui: gch232fh.rt
• Detetámos um problema com a sua conta bancária. Aceda à sua conta agora para verificar: gch232fh.rt
• Parabéns! Ganhou um prémio no valor de 100 000 euros. Clique aqui para receber: gch232fh.rt
• O seu reembolso do IRS está pronto. Clique aqui: gch232fh.rt

Recentemente foi notícia um tipo diferente de “smishing” ao qual, certamente, os peritos em cibersegurança atribuirão um nome próprio em breve. Trata-se de smishing através de mensagens de WhatsApp, mas cujo teor é semelhante ao do smishing habitual. Um homem, português, de cerca de 25 anos, conseguiu burlar várias pessoas anónimas ao enviar-lhes uma mensagem por WhatsApp declarando ser seu filho, ter mudado de número de telemóvel e precisar de dinheiro. Algumas pessoas caíram na armadilha; o burlão “lucrou” cerca de 4000 € antes de ser detido.

Como identificar uma mensagem de smishing?

Uma mensagem de ameaça traz consigo indicadores de alerta a que se deve estar atento. Se já estiver precavido contra esta ameaça, é mais fácil defender-se – tal como é fácil desconfiar de pessoas desconhecidas que batem à porta sem motivo aparente. Mas cuidado: o potencial de envolvimento da vítima em meio online é maior do que na clássica burla do “técnico da Segurança Social” que visita idosos para alegadamente os informar. Na internet, não somos confrontados com um rosto humano e é mais fácil “esquecermo-nos” dos indicadores de alerta. Vejamos:

• Números desconhecidos. Como já referido, seja ou não identificado, um número desconhecido que lhe envia uma SMS poderá ser um hacker. Obter números de telemóvel é bem mais fácil do que parece, e o seu número pode estar numa base de dados algures, pronto a que lhe seja lançado um “isco”.
• Apelo à urgência. “Responda rápido!”, diz a SMS, ou pelo menos leva a pensar isso. O objetivo do hacker é que a vítima clique rapidamente antes de pensar duas vezes se vale a pena. Depois de clicar no link fornecido, o mal(ware) estará feito.
• Pedidos de informação sensível. Mesmo avisando explicitamente que não serão pedidos os seus dados pessoais, o hacker pode levar a vítima a clicar num link e abrir uma página falsa, que parecerá a do seu banco mas que será na verdade controlada por ele. Se inserir os seus dados bancários aí, o hacker ficará na posse deles.
• Desconfie sempre de promoções demasiado boas (não, o Lidl não estava a sortear prémios em troca dos seus dados pessoais, nem a Decathlon oferecia bicicletas em troca de partilhas no Facebook) e de mensagens com erros ortográficos ou de linguagem.

Como proteger-se de ataques de smishing?

Tenha sempre em mente estas dicas:

• Pense sempre duas vezes. Todos as pessoas e entidades de que precisa mesmo já estão na sua lista de contactos. Por isso, desconfie à partida de números que não conhece.
• Ainda que a SMS que receba seja de um contacto da sua lista, desconfie se o texto lhe parecer estranho, e principalmente se tiver um link. Têm sido detetados ataques de smishing nos quais o hacker consegue “disfarçar-se” de um contacto da lista da vítima, para que esta confie no conteúdo, julgando tratar-se de um amigo ou familiar. Os seus contactos costumam mesmo enviar-lhe links desconhecidos?
• Resista sempre à urgência. Ninguém obriga a responder no imediato. Dê tempo a si próprio para refletir sobre o que fazer.
• Se tiver dúvidas, tome a iniciativa. Em vez de clicar no link ou preencher o formulário que lhe mostram, aceda diretamente ao site do seu banco ou contacte por telefone. Fale da mensagem que recebeu e confirme se é verídica.
• Não instale aplicações enviadas a partir de SMS. Recorra sempre às lojas oficiais e fidedignas, como o Google Play ou a App Store. Uma app que lhe é sugerida através de um link via SMS provavelmente não é uma app, é um ficheiro executável disfarçado de app e controlado remotamente por um ciberatacante.

A melhor ferramenta de defesa contra smishing é não responder à SMS nem clicar em nada do que lhe é mostrado. Mas lembre-se que, se no calor do momento acabar por clicar, será útil contar com uma proteção extra. No mais, as pessoas que são vítimas de cyberstalking tendem a receber mensagens de ameaça deste género com frequência; e é mais fácil recusar ou ignorar um ataque de smishing uma única vez do que se ele for repetido, quiçá misturado com ciberbullying e outras formas de assédio.

Uma VPN ajuda-o a navegar com privacidade na internet, reduzindo as possibilidades de sofrer de assédio virtual. No caso da NordVPN, além do serviço de VPN, a funcionalidade de Proteção Contra Ameaças Pro ajuda a detetar malware que possa estar a ser instalado no seu computador sem que se esteja a aperceber. A Proteção Contra Ameaças Pro também impede o utilizador de aceder a sites que sejam suspeitos ou possam ser perigosos (impedindo, por exemplo, que preencha os seus dados bancários no formulário do site de um hacker).