Esta forma de phishing é cada vez mais comum e os atacantes fazem-se passar, maioritariamente, por bancos ou serviços de mensagens para enganar os alvos
comunicado de imprensa:
A Sophos (LSE:SOPH), líder global em soluções de cibersegurança de próxima geração, alerta para as campanhas fraudulentas de SMS, denominadas smishing – a combinação dos termos “SMS” e “phishing” –, que os cibercriminosos utilizam cada vez mais nos seus ataques.
A técnica de ciberataques de phishing através de e-mail é já bastante conhecida, sendo que grandes empresas já perderam avultadas somas de dinheiro graças a este método.
Também comum é outra técnica de phishing através da qual os criminosos espalham ameaças dentro das empresas, como as abrangentes campanhas de Emotet – em que os ciberatacantes infiltram ransomware em toda a rede empresarial através do envio de documentos maliciosos.
Mas o que é exatamente o smishing e para que é utilizado?
O smishing é uma técnica de engenharia social através da qual os cibercriminosos atacam massivamente muitos utilizadores com o simples envio de uma SMS, simulando ser um remetente legítimo – como um banco, uma rede social, uma instituição pública ou uma aplicação de utilização generalizada.
O objetivo destes ataques é roubar informações privadas ou cobrar taxas às vítimas, fazendo com que estas acedam a um link falso ou insiram as suas credenciais para confirmar a sua conta bancária.
O que torna este tipo de ciberataques tão perigoso é a falta de hábito e de prevenção por parte dos utilizadores.
Os ataques de phishing ou spam são muito comuns em e-mails, mas por SMS ainda são muitas vezes considerados pelos utilizadores como envios legítimos, uma vez que este tipo de mensagens é muito utilizado para comunicação pessoal, notificações de bancos e companhias aéreas ou códigos de utilização única para validar operações ou acessos.
E é precisamente por isso que os cibercriminosos os estão a incorporar cada vez mais no seu reportório de técnicas de ataque para aceder aos dados dos utilizadores.
“Os atacantes utilizam as SMS porque são baratas, porque é fácil obter listas de números de telefone e porque podem ser programadas para enviar de forma massiva. Para além disso, têm um ponto a seu favor e comparação com os e-mails fraudulentos: o facto de estarmos pouco acostumados a elas. Com o tempo, as SMS tornaram-se mais baratas e não é descabido pensar que os cibercriminosos até conseguem enviá-las gratuitamente”, explica Alberto R. Rodas, Sales Engineer for Spain & Portugal, Sophos.
Os especialistas em cibersegurança da Sophos detetaram recentemente vários exemplos de smishing. Os bancos e empresas de mensagens parecem ser os principais “ganchos”, mas também são utilizadas contas de WhatsApp ou outras redes sociais, sendo que se solicita à vítima que responda com o código que acaba de receber para verificar a sua conta.
Devido ao aumento da vulnerabilidade, e para ajudar os utilizadores a não cair nestes golpes e ciberataques, os especialistas em cibersegurança da Sophos Iberia oferecem cinco recomendações para evitar ataques de smishing:
- Não confie no remetente. O remetente de uma SMS pode ser modificado para colocar o que os cibercriminosos desejam, como por exemplo “CTT”. Embora exista já algum progresso no sentido de evitar que isto aconteça, ainda não se encontra em vigor, portanto, em caso de dúvida, simplesmente não confie no remetente.
- Se lhe pedirem para fazer algo, desconfie. Qualquer SMS que solicite uma ação deve ser considerada suspeita. Uma coisa é uma SMS de notificação (“A sua encomenda foi enviada”)… outra bem diferente é quando é solicitada a realização de uma ação sob algum tipo de ameaça (como o cancelamento de uma encomenda, cartão ou conta).
- A urgência é um sinal de alarme. Uma técnica muito comum em engenharia social – para além de utilizar a autoridade para parecer um serviço confiável (correios, banco, etc.) – é a urgência. Os ataques de smishing estimulam-nos a tomar medidas imediatas, reduzindo o tempo para pensar ou realizar as verificações apropriadas.
- Proteja o seu telemóvel. Contar com um sistema de proteção mobile permite que os utilizadores tenham uma camada extra de segurança para bloquear este tipo de ataques. As soluções de proteção gratuitas como o Sophos Intercept X for mobile proporcionam proteção antimalware para dispositivos móveis, controlo da navegação para bloquear o acesso a sites maliciosos e controlo de SMS fraudulentos.
“Desde há alguns anos que vivemos uma mudança de paradigma na utilização dos dispositivos móveis, desde o acesso a contas bancárias, a comunicação com o nosso círculo e o lazer através de plataformas de conteúdo de cinema e televisão,” continua Alberto R. Rodas.
“No novo cenário provocado pela COVID-19, aumentámos o tempo de conexão e alterámos as formas de trabalhar, incluindo o trabalho remoto na equação. Tudo isto nos tornou mais vulneráveis a ciberataques, que podemos receber por SMS ou e-mail.
Equiparmo-nos com ferramentas que facilitem a sua deteção e nos eduquem continuamente para saber quando e onde nos tentam enganar são pilares fundamentais para evitar ameaças como o smishing.”
Recursos Adicionais
- Saiba mais sobre o cenário e as tendências de ameaças para 2020 no SophosLabs Threat Report
