Sim, é oficial: o telefone já não toca só para vender contratos duvidosos de energia ou oferecer um novo pacote de canais desinteressantes. Agora, também serve de isco para ataques cibernéticos cada vez mais sofisticados — e o mais assustador é que vêm com voz doce e escrita convincente. Bem-vindo ao mundo do smishing e vishing.
smishing (phishing via SMS)
vishing (phishing por chamadas telefónicas)
smishing e vishing: a era do engano portátil
Se ainda não ouviu falar de smishing (phishing via SMS) e vishing (phishing via chamadas), é porque tem vivido numa ilha sem rede móvel — invejável. Mas para todos os outros que já receberam mensagens a fingir ser dos CTT, da Segurança Social, ou de um banco qualquer com promoções generosas e links suspeitos, saibam que estão no novo campo de batalha da cibersegurança.
A Cyberint, braço da Check Point Software, levantou a bandeira de alerta: os ataques por SMS e chamadas fraudulentas estão a disparar, e Portugal não é exceção nesta guerra silenciosa. Em 2024, só os ataques por voz (vishing) aumentaram 442% no segundo trimestre. Quatrocentos. Quarenta. E dois.
SMS da treta e chamadas com sotaque convincente
O modus operandi é simples: fingem-se de quem não são, pedem aquilo que não deviam, e nós — distraídos, confiantes, apressados — caímos. O phishing tradicional usava emails mal traduzidos; agora, tudo é mais inteligente, mais personalizado, e bem mais sorrateiro.
No smishing, chega-lhe uma mensagem com um link: clique para ver a encomenda, confirme o IBAN, pague os custos de desalfandegamento. No vishing, o número parece nacional e a voz do outro lado soa segura, clara e até simpática. Mas o objetivo é sempre o mesmo: roubar dados, plantar malware ou extorquir dinheiro.
E como hoje vivemos agarrados ao telefone, os atacantes sabem que este é o caminho mais rápido para a vulnerabilidade.
Quem está na mira?
O relatório da APWG (Anti-Phishing Working Group) é claro: serviços financeiros, retalho, redes sociais e plataformas SaaS estão entre os principais alvos — e, por arrasto, também os seus clientes.
O setor financeiro, claro, é um alvo óbvio: contas bancárias dão dinheiro. Já o retalho, talvez mais inesperado, é explorado pela sua massa crítica de dados. Os atacantes fazem-se passar por marcas conhecidas, com SMS que parecem legítimos. E o consumidor, num dia mais distraído, morde o isco.
Combinado com contas falsas em redes sociais e sites clonados, o engano torna-se quase indistinguível da realidade. É a engenharia social em modo turbo.
Como proteger-se quando tudo parece legítimo?
Aqui ficam as dicas da Cyberint, mas com tradução livre para o mundo real:
🧠 Educação (da boa, contínua e sem paternalismos)
Ensinar colaboradores e cidadãos a não acreditar em tudo o que brilha no ecrã. Se o banco envia um SMS com um link, é fraude. Se uma chamada pede dados pessoais, é fraude. Se tem dúvidas, é fraude.
🎭 Ataques simulados
As empresas deviam testar os seus funcionários com campanhas de smishing e vishing falsas. Não para os envergonhar, mas para os preparar. Porque no dia real, os danos podem ser fatais — e a culpa raramente morre solteira.
🛡️ Tecnologia com olhos bem abertos
Implementar filtros, firewalls, identificadores de chamadas suspeitas e bloqueadores de SMS — tudo o que ajude a mitigar o risco. E atualizar, sempre.
📣 Comunicação clara e sem rodeios
As empresas devem dizer aos seus clientes, de forma explícita, o que nunca fazem por telefone ou SMS. E isso deve estar impresso em todo o lado: sites, apps, faturas e folhetos.
Final de chamada: desligue a ingenuidade
Não estamos perante spam inocente. Estamos a lidar com ataques inteligentes, constantes e perigosos. E enquanto continuarmos a tratar mensagens e chamadas no telemóvel como confiáveis por defeito, estamos a deixar a porta aberta.
O smishing e o vishing não vão desaparecer tão cedo. Mas podemos, e devemos, tornar-nos menos ingénuos, mais críticos e muito mais preparados.
E se alguém o ligar a dizer que ganhou um prémio por ser cliente exemplar… lembre-se: ninguém, nunca, oferece um iPhone assim do nada.
