Smishing: saiba mais sobre a nova atividade fraudulenta virtual

Phishing (adaptação da palavra em inglês fishing) é uma prática fraudulenta virtual, onde um indivíduo mal-intencionado “pesca” suas vítimas através do envio de mensagens elaboradas, quase sempre contendo links e anexos com malware, afim de obter seus dados pessoais. Geralmente, os criminosos se fazem passar por uma empresa confiável para atrair a vítima que, ao abrir a mensagem e/ou os links na mesma, tem seu dispositivo invadido. As mensagens podem circular por praticamente qualquer canal virtual de comunicação como e-mail, SMS, sites, redes sociais e aplicativos de mensagens instantâneas.

Caso o golpista consiga acesso ao aparelho, inicia-se a etapa da fraude, onde os dados obtidos são usados para acessar uma conta, criar novas identidades, roubar dinheiro ou realizar algum outro tipo de crime utilizando estes dados. Os criminosos podem, ainda, utilizar os dados coletados para vender a outras pessoas ou usá-los em um próximo ataque. Após todo o processo, o criminoso destrói os mecanismos para a criação e execução do ataque com o objetivo de eliminar evidências. Em casos onde o roubo inclui dinheiro, essa etapa envolve formas de lavagem para dificultar qualquer tipo de investigação policial.

Smishing é a tática que combina o phishing com mensagens de texto, onde a vítima recebe um SMS “urgente” contendo um link malicioso. Ao clicar no link, um vírus é transferido para o celular, e a partir daí o criminoso consegue se infiltrar no aparelho, passando a ter acesso a todos os dados registrados no mesmo e iniciando todo o processo fraudulento descrito anteriormente.

Comumente, os criminosos se apoiam em situações cotidianas: "Se é próximo de datas comerciais, eles usam promoções para chamar a atenção, por exemplo. Em meio a campanhas de vacinação, o argumento é o agendamento”, destaca Oscar Zuccarelli, gerente de segurança da informação da CertiSign em matéria para CanalTech, portal brasileiro de notícias tecnológicas. A pandemia da COVID-19 agravou o cenário, visto que o número de transações e atividades online em geral disparou durante a fase de isolamento social. Muitas vezes, o tema das mensagens fraudulentas foi relacionado a ações governamentais, como por exemplo, a distribuição de auxílio emergencial. Apesar de tudo, é possível evitar ser vítima deste golpe com apenas algumas medidas simples:

• Repare no emissor da SMS e se o mesmo se trata de um número oficial;
• Não clique em links em SMS, especialmente se enviadas por números desconhecidos;
• Jamais forneça seus dados pessoais: Lembre-se de que empresas não costumam procurar clientes para solicitar dados pessoais;
• Mantenha o sistema operacional do seu aparelho atualizado. Faça o mesmo com o antivírus e outros aplicativos ou softwares de segurança. Procure configurá-los para que as atualizações sejam automáticas, para evitar correr o risco de esquecer de atualizar manualmente;
• Sempre confirme informações de SMS nos canais oficiais da empresa como sites, mídias sociais oficiais e números telefônicos. Caso opte pela primeira opção, é importante atentar para o fato de que também é comum os criminosos criarem réplicas idênticas dos sites. Para ter certeza, confirme se o endereço tem certificado SSL, clicando no cadeado no navegador e confirmando as informações.

Lembre-se que, de forma geral, o Sicredi nunca envia mensagens aos associados com links e/ou pedindo dados. Caso note algo estranho, entre em contato imediatamente seu gerente para orientações. Para se manter ainda mais protegido e receber outras dicas de segurança, visite nosso Portal. Nele, você encontra inúmeras dicas de segurança tanto em meios digitais quanto físicos, e também tem acesso à nossa Cartilha de Segurança, um compilado de dicas importantes feito pensando em você.