Nos acostumamos com as notificações por SMS e os phishers estão tirando proveito disso
Um ataque crescente de mensagens de phishing entregues via SMS (também conhecido como “smishing”) tem atingido usuários móveis em todo o mundo nos últimos meses.
As mensagens falsas representam pagamentos, entrega de pacotes e serviços de streaming, organizações governamentais e de saúde, provedores populares de TI e e-mail, varejistas online, organizações de hospitalidade e assim por diante.
O phishing de SMS é popular porque é eficaz
O objetivo dos invasores é fazer com que os usuários compartilhem informações confidenciais por SMS ou inserindo-as em um site falsificado. As informações confidenciais que os phishers buscam incluem informações pessoais e financeiras, banco online e várias outras credenciais de contas, informações fiscais, IDs eletrônicos e senhas associadas , etc. Ocasionalmente, o objetivo se estende a fazer com que os usuários instalem malware móvel ou se inscrevam no serviços caros.
As mensagens assumem a forma de alertas sobre os destinatários que podem se inscrever para a vacina COVID-19 , notificações falsas sobre entregas perdidas e / ou requisitos para pagar por entregas específicas, mensagens oferecendo ajuda financeira do governo , prêmios ganhos …
A variedade de iscas / pretextos é aparentemente infinita, mas eles são projetados para tirar proveito de:
- Nossas emoções e falhas cognitivas
- Nossa confiança na autoridade
- Nosso desconhecimento de tecnologia e vários processos modernos
- O fato de que algumas bandeiras vermelhas são difíceis de detectar em telefones celulares, e
- O fato de ser contatado via SMS por vários serviços e instituições governamentais está se tornando menos incomum a cada dia que passa
Como detectar?
Embora seja possível que o telefone celular de um de seus contatos tenha sido comprometido e invasores o estejam usando para enviar mensagens de smishing, tal ocorrência é extremamente rara e limitada a ataques direcionados.
A maioria das tentativas de smishing vem de números de telefone desconhecidos e não listados, portanto, é difícil verificar a identidade do remetente. Também é difícil ver para onde o URL encurtado incluído na mensagem realmente aponta, pois você não pode passar o ponteiro do mouse sobre o link para verificar.
Sua capacidade de reconhecer smishing depende de:
- Sua consciência da existência da prática
- Esteja você cansado, com pressa ou simplesmente não prestando atenção suficiente
- Se você é suscetível à curiosidade, pânico, medo de perder e outras emoções que nos fazem suspender temporariamente o raciocínio lógico
A coisa mais importante a fazer quando você recebe um SMS não solicitado que vem com uma oferta de bom para ser verdade, tenta fazer com que você faça algo rapidamente ou ameaça você com uma multa, a possibilidade de perder o controle de uma conta ou diz você seu pedido não será entregue, é parar e pensar.
Se você não tiver 100 por cento de certeza de que o SMS está vindo de um remetente legítimo e não fraudulento, faça uma investigação.
Se a mensagem parece ser do seu banco, verifique sua conta inserindo o endereço do site do banco diretamente em um navegador ou entre em contato com o banco por telefone – mas não use nenhum dos links ou números de telefone incluídos no SMS para fazer isso .
O mesmo conselho vale para mensagens suspeitas que parecem vir da Amazon, PayPal, DHL, uma autoridade fiscal, um departamento de polícia ou agência de aplicação da lei, uma organização de saúde, Apple, Google, uma operadora de celular, Facebook, Netflix e assim por diante: se você tem uma conta no serviço, pode acessá-lo de forma independente e verificar se realmente há uma mensagem para você. Caso contrário, pegue o telefone e contate o serviço / instituição diretamente. Resumindo, use canais legítimos conhecidos para verificar se a mensagem é legítima.
Infelizmente, até que as telecomunicações apresentem maneiras mais eficazes de evitar que mensagens SMS de phishing sejam entregues – e faça isso de forma consistente, adaptando essas defesas para impedir novos truques que os invasores costumam usar – temos que ter cuidado e não confiar implicitamente em cada SMS nós recebemos.