Smishing e Vishing: o phishing que chega por SMS e ligação de voz

Tecnologia
Comex

Imagine que, numa tarde qualquer, você está tranquilamente rolando o feed da sua rede social favorita quando, de repente, chega a notificação por SMS oferecendo um prêmio em dinheiro milionário. Tudo que você precisa fazer é clicar em um link para fornecer seus dados pessoais.

Logo em seguida, o seu celular toca, e uma voz informa que há uma “atividade suspeita” acontecendo na sua conta bancária. Para resolver o problema é simples: você só precisa dizer a sua senha do banco para que o atendente solucione o problema rapidamente.

O prêmio dos sonhos e o alerta da ligação bancária, porém, são armadilhas bastante comuns (e até manjadas) quando estamos falando sobre tentativas de golpe no ambiente digital. Ambas as práticas são muito usadas por criminosos que apostam na engenharia social, ou seja, a manipulação psicológica da vítima, para obter informações sigilosas do usuário, como senhas e dados bancários.


Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

No caso dos dois cenários mencionados acima, as tentativas de golpe por SMS e ligação fraudulenta se concretizam por meio do que ficou conhecido na área como smishing e vishing, duas táticas derivadas do phishing, um ataque digital que pode causar danos catastróficos para as vítimas.

Para te ajudar a se proteger dessas ameaças digitais que estão sempre à espreita apenas esperando um deslize, o Canaltech preparou um guia completo com tudo que você precisa saber sobre smishing e vishing, incluindo exemplos de como os golpes funcionam na prática, sinais de alerta e o que fazer para fugir dessas ameaças.

O que é phishing, smishing e vishing

Antes de mais nada, é importante dar nome aos bois para você saber exatamente com o que está lidando, caso uma tentativa de ataque parecida chegue ao seu celular inesperadamente.

Aqui, vale ressaltar que, embora cada prática tenha um modus operandi diferente, todos acontecem com base em engenharia social. O que muda é justamente o canal em que cada um opera.

Vamos entender, então, quais são as principais diferenças entre phishing, smishing e vishing.

O seu celular pode ser a porta de entrada para golpes como smishing e vishing (Imagem: Reprodução/PostBox).

Phishing, o “pai” de todos

O phishing é um ataque digital que funciona como uma pescaria. O termo vem do inglês “fishing” (pesca), fazendo referência ao ato de jogar uma isca para “pescar” dados confidenciais da vítima no ambiente virtual.

Geralmente, um phishing tradicional acontece por e-mail, com mensagens que parecem vindas de instituições bancárias ou serviços legítimos, por exemplo, mas que são usados apenas para distribuir links maliciosos.

O Canaltech já falou detalhadamente sobre phishing nesta matéria especial:

Smishing, o “filho” mensageiro

O smishing é a junção dos termos “SMS” e “phishing”. Esse tipo de ataque ocorre por mensagens de texto, podendo ser adaptado para aplicativos como WhatsApp e Telegram.

O golpe distribui links curtos usando a imagem de empresas legítimas ou pessoas de confiança com alertas para entrega de encomendas de correio, problemas bancários, propostas de emprego e até mesmo recebimento de prêmios. Tudo é apenas uma tática para roubar informações da vítima.

Vishing, o “filho” falante

O vishing é a união dos termos “voice” (voz) e “phishing”. A fraude ocorre por meio de chamadas telefônicas em que o criminoso finge ser funcionário de uma empresa (em grande maioria, bancos e companhias de tecnologia) ou pessoas de confiança para coletar dados sigilosos da vítima usando o falso pretexto de urgência.

Em casos mais sofisticados, há até mesmo a reprodução de falas da vítima com a ajuda de inteligência artificial (IA).

Como funciona o smishing

Embora existam diversas maneiras de aplicar golpes usando smishing, algumas práticas são mais comuns e continuam causando danos mesmo diante de todos os alertas.

Conheça, então, quais são os exemplos de smishing mais frequentes na atualidade:

  • A falsa urgência bancária: uma das práticas mais comuns de smishing é receber uma mensagem por SMS dizendo que a “sua conta bancária será bloqueada” ou outros problemas do tipo que trazem uma urgência preocupante para o cliente. O SMS de banco falso geralmente traz informações sobre atividades suspeitas, pedindo para que o usuário clique em um link. O problema é que isso é apenas uma ferramenta para roubar dados do usuário a partir da instalação de um malware no celular.
  • A entrega fantasma: esse tipo de smishing ocorre quando uma mensagem por SMS chega ao seu celular afirmando que um pacote não pôde ser entregue no seu endereço. O caso envolve o nome de empresas conhecidas, como Amazon, Correios e transportadoras privadas, como a Jadlog, com a exigência de pagar um valor determinado para liberar a entrega, ou algo parecido com essa tática.
  • O prêmio inesperado: criminosos também usam o smishing para distribuir links ou arquivos maliciosos usando o pretexto de que a vítima ganhou algum tipo de prêmio, geralmente em dinheiro. As mensagens contêm gatilhos mentais como “você ganhou R$ 10 mil”, pedindo para que o usuário clique em um link ou responda a mensagem para coletar o prêmio.
  • O falso cadastro: o smishing do “falso cadastro” geralmente se camufla por trás da legitimidade de instituições governamentais e da área da saúde para roubar informações pessoais dos usuários. A tática envolve o envio de mensagens solicitando a atualização de dados da carteirinha de vacina, por exemplo, assim como supostos problemas no CPF ou no título de eleitor.
Mensagem por SMS pedindo pagamento de taxa para liberar encomenda é uma das técnicas de smishing mais conhecidas (Imagem: Gustavo Bonotto/Campo Grande News).

Como funciona o vishing

Assim como o smishing, o vishing também conta com uma coleção de práticas comuns que seguem fazendo vítimas em todo o Brasil. O diferencial é que, com o uso da voz, as coisas ficam ainda mais complexas e perigosas na hora do ataque.

Conheça as principais táticas de vishing para manter o sinal de alerta sempre ligado:

  • O falso suporte técnico: pedir ajuda ao suporte técnico para resolver algum problema no seu provedor de internet, por exemplo, é uma das atividades mais comuns entre os brasileiros. Logo, os criminosos também apostam na confiança de serviços tecnológicos para dar o golpe do suporte técnico, que consiste em uma ligação telefônica em que o criminoso diz ter detectado um vírus no computador/celular da vítima, solicitando acesso remoto para corrigir a falha.
  • A falsa central bancária: a tática ocorre quando o golpista finge, por meio de uma ligação, ser funcionário de um banco para conseguir dados bancários da vítima, especialmente senhas. Muitas vezes, o criminoso usa spoofing de chamada, uma prática que funciona como uma espécie de máscara para falsificar o número que aparece no identificador, exibindo o que parece ser o número real da instituição.
  • A personificação de autoridade: usar a legitimidade e reputação de instituições de autoridade também é uma prática comum no vishing. Nesse caso, o criminoso liga para a vítima se passando por alguém que trabalha para a Receita Federal ou a polícia, por exemplo, afirmando que há algum tipo de pendência legal para a pessoa resolver. Geralmente, o golpe envolve supostas irregularidades no imposto de renda, exigindo dados pessoais do indivíduo.

Vale ressaltar ainda que, na prática do vishing, os criminosos geralmente costumam fazer um jogo psicológico com a vítima, mantendo as manipulações com base na engenharia social, algo que ganha uma complexidade a mais graças ao tom de voz usado.

Além disso, gatilhos de urgência que podem gerar medo no usuário são comuns, como dizer: “se não fizer isso agora, a conta será bloqueada ou receberá uma multa”.

Sinais de alerta: como identificar os golpes

Agora que você já conhece as principais táticas de smishing e vishing, vale prestar atenção nos sinais de alerta para identificar esses golpes antes que seja tarde demais.

Veja a seguir 4 dicas de segurança para estar sempre preparado para enfrentar possíveis ameaças no meio digital:

Como identificar o smishing

  1. Erros de gramática e ortografia são extremamente comuns em golpes por SMS. Ver alguma palavra sem acentuação correta ou linguagem genérica (como “prezado cliente”) são sinais de que aquela mensagem pode conter intenções maliciosas.
  2. Links encurtados ou de domínios estranhos são indicativos de sinal vermelho para golpe. Se a mensagem contém uma URL estranha que não parece oficial, como “banco.xyz.com”, pode ser um alerta de que aquele não é o site oficial da empresa em questão.
  3. Senso de urgência exagerado é mais uma tática queridinha dos golpistas de smishing. Ver mensagens que geram pânico trazendo termos como “agora” e “imediatamente” é uma indicação de que se trata de uma fraude, assim como as frases “sua conta será bloqueada” ou “seu acesso foi cancelado”.
  4. Remetentes desconhecidos ou números de celular comuns acendem o sinal vermelho para golpe. Geralmente, bancos verdadeiros costumam usar shortcodes para entrar em contato com clientes.
Saber como reconhecer um golpe é importante para se proteger (Imagem: Reprodução/We Live Security).

Como identificar o vishing

Para te ajudar a saber como identificar um vishing de primeira, veja a seguir 4 dicas para acender o sinal vermelho:

  1. Pressão para agir durante a ligação: o golpista do vishing usa engenharia social para manipular a vítima com um senso de urgência extremo para que ela tome uma atitude impulsiva, o que pode acabar abrindo espaço para o golpe se concretizar.
  2. Pedidos de dados sensíveis são práticas comuns no vishing. O criminoso geralmente solicita dados confidenciais, como senhas e dados completos do cartão de crédito, por exemplo, para coletar informações da vítima. Aqui, vale ressaltar que o seu banco jamais pedirá sua senha por meio de ligação telefônica. Se isso acontecer, é golpe na certa.
  3. O “atendente” fica irritado, caso você diga que vai verificar sozinho. Na grande maioria dos casos, o golpista que se passa por funcionário de uma empresa faz o possível para que você não desligue, ficando bravo se a “ajuda” dele for dispensada.
  4. Pedidos para instalar softwares ou aplicativos de acesso remoto, como AnyDesk ou TeamViewer. Se o atendente que afirma ter encontrado algum problema no seu computador ou celular pedir acesso remoto para resolvê-lo, desconfie imediatamente.

Como se proteger e o que fazer se cair no golpe

Cair em um golpe na internet pode acontecer quando você menos espera. Logo, é preciso saber como se proteger corretamente das ameaças do smishing e do vishing, tendo conhecimento de dicas práticas de prevenção.

Como se prevenir de smishing e vishing

Prevenir-se antes que o pior aconteça é o melhor caminho para fugir das armadilhas de smishing e vishing. Veja a seguir 4 dicas de como se proteger de ameaças online:

  1. Sempre desconfie: essa é a regra de ouro para evitar cair em qualquer tipo de golpe no meio digital. Não ignore seu “sexto sentido” nessas situações, afinal a sua intuição a respeito de uma mensagem duvidosa provavelmente pode estar certa.
  2. Não clique, não responda: nunca (e vamos reforçar: nunca mesmo) clique em links que chegam por meio de SMS suspeitos. Sempre verifique se o que está na mensagem realmente faz sentido, mantendo o alerta ligado para os sinais de que aquilo pode ser um golpe.
  3. Desligue e verifique: no caso do vishing, você pode apenas desligar o telefone se começar a identificar sinais de que está entrando em uma armadilha. Logo em seguida, é recomendado partir para a verificação, entrando em contato com a instituição real para saber se a história é real ou não. Os meios de comunicação oficiais geralmente estão no site verídico da empresa.
  4. Filtros de spam no celular e aplicativos de segurança (antivírus, firewall e outros) são os seus melhores amigos. Essas ferramentas ajudam a barrar ameaças, filtrando e verificando em tempo real possíveis ameaças para que elas não cheguem até você.

Caí em um golpe: o que fazer?

Supondo que você caia em um golpe no futuro (ou conheça alguém que acabou de ser vítima de um), é fundamental saber o que fazer para remediar a complicada situação logo nos primeiros momentos. Assim, você consegue contornar a situação da melhor maneira possível.

Após cair em um golpe digital, é preciso tomar medidas para proteger dados sensíveis (Imagem: Reprodução/Blog Itaú).

Veja a seguir 4 dicas do que você pode fazer se cair em um golpe de smishing ou vishing:

  1. Contate seu banco ou empresa: não hesite em entrar imediatamente em contato com a sua instituição bancária ou a empresa em questão pelos canais oficiais. Solicite o bloqueio de cartões e contas, relatando o ocorrido para que todas as medidas de segurança sejam tomadas.
  2. Troque todas as suas senhas: faça uma varredura completa em suas contas pessoais no meio digital, trocando senhas de e-mails, redes sociais, bancos e outros tipos de logins que contenham informações sensíveis.
  3. Verifique suas contas: mantenha a atenção para seus extratos bancários e faturas do cartão de crédito para identificar qualquer tipo de movimentação suspeita depois de cair em um golpe. Assim, você estará pronto para agir.
  4. Faça um Boletim de Ocorrência (BO): registar um BO logo após cair em um golpe é de extrema importância para que medidas punitivas frente à justiça sejam tomadas. Perdas financeiras ou identidades furtadas precisam ser relatadas para que as autoridades responsabilizem os criminosos.

Em tempos de constantes avanços tecnológicos, ter conhecimento de práticas golpistas online é uma arma contra possíveis ataques que podem acontecer com qualquer um, basta um momento de descuido. Portanto, estar sempre atento para saber como os cibercriminosos agem é uma medida de segurança fundamental na internet.

Afinal, com tantas ferramentas disponíveis e com o aumento do uso de inteligência artificial (IA) por criminosos para deixar as fraudes ainda mais sofisticadas e difíceis de serem detectadas, os golpes seguem evoluindo, encontrando novos jeitos para enganar as pessoas.

Diante desse cenário de tantas incertezas, é importante se manter sempre vigilante, aplicando essas práticas de educação digital no seu dia a dia para evitar armadilhas. De maneira consciente, é possível ter uma experiência online segura.

Leia também:

Leia a matéria no Canaltech.

Veja mais:

Tarifaço de Trump mexe com preço dos carros no Brasil?

Comex

95% dos universitários brasileiros usam Instagram diariamente, revela pesquisa

Comex

O que é Roku OS? Entenda para que serve e como funciona o sistema para TVs e dongles

Comex