Logo HSC-01
  • Soluções
  • Parceiros
  • Empresa
  • Materiais
  • Suporte
  • Blog
  • Contato
Free Trial

O que é smishing e como se proteger?

Praticamente todo mundo em algum momento já recebeu mensagens de texto suspeitas no telefone ou no WhatsApp. Por exemplo, uma mensagem dizendo que você ganhou algum prêmio ou que tem pontos de algum programa de fidelidade para resgatar, mesmo que você nunca tenha se cadastrado no tal programa. Esse tipo de mensagem é um golpe comum conhecido como “smishing”. 

Neste artigo, nós vamos explicar o que é smishing, dar alguns exemplos comuns desse golpe e mostrar como usuários e empresas podem se proteger. Confira!

Principais tópicos deste artigo

O que é Smishing?

O smishing é um tipo de golpe que utiliza mensagens de texto para enganar vítimas e roubar dados pessoais, financeiros ou credenciais de acesso. O nome é uma referência à junção das palavras “SMS” (a sigla que se refere a mensagens de texto) e “phishing”, o tipo de ataque que é a base do golpe. 

Enquanto o phishing tradicional é mais comumente disparado por e-mail, o smishing foca em SMS e aplicativos de mensagem. Porém, ambos seguem a mesma lógica. 

Na prática, o criminoso usa técnicas de engenharia social para manipular as pessoas, fazendo com que elas revelem alguma informação ou tomem alguma ação de interesse do golpista. 

Ou seja, ele se passa por empresas confiáveis, como bancos, lojas ou órgãos do governo, e usa mensagens convincentes, que podem apelar para o senso de urgência e a emoção de quem está recebendo o contato.

Como funciona o smishing?

O ataque de smishing segue um padrão comum. 

Primeiro, o golpista envia um SMS ou mensagem em aplicativos como WhatsApp, fingindo ser uma instituição confiável. Muitas vezes, ele consegue até simular que a mensagem foi enviada de um número igual ao da instituição oficial, usando uma técnica chamada de spoofing telefônico.

No conteúdo, a mensagem contém um link para um site falso ou solicita que o usuário responda com dados pessoais.

Se a vítima clicar no link ou executar a ação solicitada (preencher um formulário, baixar um arquivo, informar um código de segurança etc.), os criminosos obtêm o que procuram – normalmente, acesso a senhas, números de cartão ou outros dados sensíveis. 

Também é comum que o golpista use algum pretexto para solicitar uma transferência financeira, como um Pix para resgatar um prêmio ou o pagamento de um suposto boleto em aberto.

Por fim, caso dados sensíveis sejam roubados, eles podem ser usados para fraudes financeiras, roubo de identidade ou podem até mesmo ser vendidos na dark web.

Conheça a melhor solução de proteção de e-mail

Agende seu free trial

Exemplos comuns de golpes de smishing

Os golpistas estão sempre adaptando suas estratégias, mas alguns dos golpes mais comuns no Brasil incluem os exemplos abaixo.

Falsa cobrança bancária

Mensagens que alertam sobre débitos inexistentes e orientam a vítima a acessar um link para regularização, normalmente para pagar supostas contas de telefone, luz ou internet. O link então gera um boleto falso, mas com aparência muito similar ao de um boleto legítimo.

Entrega falsa

SMS informando sobre uma suposta tentativa de entrega de encomenda, com um link para “rastrear” o pedido. Na prática, o link é malicioso e pode ser usado para roubar dados ou infectar o celular com malware.

Benefícios ou prêmios falsos

Promessas de descontos, reembolsos, sorteios, pontos não utilizados em um programa de fidelidade, auxílios governamentais etc. 

Diversos tipos de smishing envolvem essa ideia de que o destinatário tem algum benefício, oferta ou prêmio a receber – desde que, claro, clique em um link, faça um Pix ou forneça alguns dados ao golpista.

Bloqueio de conta

Avisos falsos de bancos ou serviços online informando que a conta do usuário será suspensa caso não realize determinada ação. Normalmente, o prazo para essa ação é curto, em uma tentativa de forçar o usuário a tomar uma decisão por impulso.

Atualização de cadastro

Mensagens que solicitam informações pessoais para supostamente atualizar dados em serviços financeiros ou instituições também são um dos golpes mais comuns de smishing.

Ataques personalizados

Os exemplos mencionados acima costumam ser disparados de forma massiva, com mensagens idênticas para um grande número de contatos. Porém, o smishing também pode ser personalizado e direcionado para um usuário específico, levando em conta seus hábitos e seu histórico pessoal e de trabalho.

Veja como a HSC Labs melhorou a segurança de e-mail do MP-Bahia

Leia o estudo de caso

Como se proteger contra golpes de smishing

Apesar do risco do smishing, é possível adotar diversas medidas que reduzem drasticamente a chance de cair nesse tipo de golpe. Confira algumas boas práticas.

  • Desconfie de mensagens urgentes, já que golpistas usam técnicas de pressão para forçar decisões rápidas e precipitadas.
  • Não responda nem interaja com quem enviou a mensagem.
  • Jamais clique em links recebidos por SMS. 
  • Para checar se a mensagem ou o teor do contato é verdadeiro, acesse diretamente o site oficial da empresa, digitando o endereço no seu navegador.
  • Nunca forneça informações sensíveis por mensagens. Como regra geral,  bancos e empresas confiáveis nunca solicitam senhas, códigos de verificação ou dados sigilosos por SMS.
  • Desconfie de números desconhecidos, mas lembre-se que os criminosos também conseguem simular números reais e supostamente “oficiais”.
  • Ative a autenticação em dois fatores para todos os aplicativos que utiliza. Isso reduz o risco de invasões mesmo que os golpistas obtenham sua senha.
  • Identificou um número fraudulento? Reporte como spam e bloqueie imediatamente.

Smishing nas empresas

É importante lembrar que o smishing é um problema também para as empresas. Afinal, é comum que os golpistas mirem nos colaboradores para conseguir acesso a dados e sistemas corporativos, ou mesmo para cometer fraudes financeiras. 

Da mesma maneira, os golpistas podem simular ser a sua empresa para enganar seus clientes e parceiros, gerando uma crise de confiança na marca e até potenciais sanções, multas e ações judiciais.

Portanto, é fundamental que as empresas atuem de forma preventiva. O primeiro passo é treinar os colaboradores, promovendo conscientização sobre golpes digitais e engenharia social. E, claro, investir em ferramentas de segurança interna, que identificam e bloqueiam tentativas de smishing.

Outro ponto importante é orientar clientes e parceiros, informando os clientes sobre os canais oficiais de comunicação, promovendo campanhas de conscientização e reforçando que a empresa não solicita dados por SMS.

Por fim, também é recomendável fazer um monitoramento de marca, rastreando  o uso indevido do nome corporativo em golpes para agir rapidamente contra ameaças.

Conscientize seus usuários e reduza o risco de smishing com a HSC

A HSC Labs oferece soluções completas de segurança que ajudam a sua empresa a reduzir o risco de smishing, incluindo o MindAware, a nossa plataforma de conscientização e treinamento em Segurança da Informação. 

Entre em contato e agende uma demonstração!

selo-proud-partner-gca-black

Inscreva-se para receber notícias de cybersecurity

Bloqueie ataques que passam despercebidos por Microsoft e Google

Microsoft-365-color
Google-workspace-color

Treine a sua equipe em cibersegurança

Comece Agora

RECEBA NOTÍCIAS DE

Cybersecurity