Seu celular vibra, indicando que você recebeu uma mensagem. É um SMS de um número desconhecido. Você verifica a mensagem e observa que o destinatário se apresenta como um produto ou serviço – seu banco, a empresa de telefonia, de TV a cabo. Ele informa que há necessidade de atualizar o seu cadastro e pede para que você confirme seus dados pessoais clicando em um link, ou retornando a chamada para um número de telefone. Você está diante de uma tentativa de phishing via SMS, algo tão comum que ganhou até um nome próprio: SMishing.
O exemplo acima é apenas uma das possibilidades de SMishing. Recentemente, clientes do PayPal estão sendo alvo de uma campanha em que os golpistas enviam mensagens de texto fazendo-se passar pela equipe de suporte da empresa de pagamentos online. Na mensagem, eles informam que a conta da vítima foi bloqueada e que o desbloqueio poderia ser feito no link que acompanha o texto. Em outros casos, a mensagem simula um “importante alerta de segurança” sobre a conta, e também solicita que a vítima clique em um link.
Clicando em qualquer um dos links, a pessoa é direcionada a uma página falsa que imita a página do PayPal. A página pede para que ela digite suas informações pessoais afim de “desbloquear a conta”. Ao fazer isso, a vítima entrega todas as suas informações para os golpistas.
SMishing no Brasil
Em fevereiro de 2015, usuários de iPhone no Brasil relataram ter recebido mensagens de números desconhecidos identificando-se como um serviço de localização de aparelho. O texto informava que o celular da vítima havia sido localizado e que, para saber a exata localização, era necessário clicar em um link.
Clicando na mensagem, a vítima era direcionada para uma página que simula a homepage do iCloud – com um endereço claramente falso -, criada para roubar as credenciais de usuários do serviço da Apple.
Outras campanhas comuns de SMishing no Brasil envolvem o alerta de mensagens de voz: “você recebeu uma mensagem. Para ouvir, clique aqui”; o bloqueio de cartões de débito ou crédito “seu cartão VISA foi bloqueado. Para desbloquear, ligue neste número”, ou falsas promoções “Este é o site que eu disse [web] Calvin Klein, Dolce Gabbana, Hugo Boss, Loewe, Chanel etc tudo pela metade do preço. Dê uma olhada e me diga…”
Algumas dicas para se proteger do SMishing:
Não abra links de sites enviados por SMS, especialmente de fontes desconhecidas;
Não baixe aplicativos enviados via SMS;
Não retorne mensagens ou ligações de números desconhecidos;
NUNCA responda a solicitações de dados pessoais, bancários ou credenciais de sites (logins e senhas) via SMS;
Desconfie de mensagens que pedem uma ação “com urgência” de fontes desconhecidas. Ex: “se você não clicar/ligar agora, vai perder essa oportunidade!”
Fontes: