Princípios importantes
- A Federal Communications Commission (FCC) alertou as pessoas sobre um aumento significativo nos ataques de phishing realizados por SMS.
- Especialistas argumentam que o SMS se tornou mais perigoso do que o e-mail para enganar as pessoas em golpes de phishing.
-
Mensagens SMS fraudulentas podem burlar a tecnologia projetada para capturar e-mails de phishing.
Justamente quando você pensava que tinha controle sobre e-mails de phishing, surgem notícias de agentes de ameaças mudando de tática e atacando pessoas usando mensagens SMS fraudulentas.
A Federal Communications Commission (FCC) publicou recentemente uma nota para alertar as pessoas sobre um aumento nos ataques de phishing por SMS, compartilhando que os golpes de texto aumentaram impressionantes 168% entre 2019-2021, com mais de 8.500 reclamações apenas isso ano sozinho.
"Os cibercriminosos estão usando cada vez mais mensagens de texto como um método para contornar os controles de segurança normalmente implementados em e-mail e outros sistemas de comunicação", disse Josh Yavor, diretor de segurança da informação da Tessian, à Lifewire. "Estamos vendo novas ondas de ataques de engenharia social em que os invasores estão se passando por diferentes tipos de mensagens SMS para enganar os consumidores a fornecer informações confidenciais e pessoais."
SMS de armamento
Ataques de phishing perpetrados por meio de mensagens SMS fraudulentas são geralmente conhecidos como smishing, ou como a FCC se refere a eles em sua nota: robotexts.
De acordo com a comissão, as reclamações sobre essas mensagens de texto indesejadas aumentaram constantemente nos últimos anos, de aproximadamente 5.700 em 2019, 14.000 em 2020 e 15.300 em 2021, para 8.500 até 30 de junho, 2022.
Também sugeriu que esse número poderia ser apenas a ponta do iceberg, apontando para um relatório do Robkiller que estimou que os americanos receberam mais de 12 bilhões de mensagens de robotext em julho de 2022, em uma média de cerca de 44 mensagens de spam para cada cidadão.
A FCC também compartilhou algumas das iscas comuns que os golpistas por trás dessas campanhas fraudulentas usam para induzir as pessoas a entregar informações confidenciais.
"Como robocallers, um robotexter pode usar medo e ansiedade para fazer você interagir", observou a FCC. "Os textos podem incluir alegações falsas, mas críveis, sobre contas não pagas, confusão na entrega de pacotes, problemas na conta bancária ou ações policiais contra você."
Além disso, em sua tentativa de se envolver com você, os golpistas também podem usar as mensagens SMS fraudulentas para fornecer informações confusas, como se estivessem enviando mensagens de texto para outra pessoa, para que você responda, de uma forma ou de outra.
Com base na nota da FCC, Yavor aponta que o SMS é "intrinsecamente mais perigoso" do que o e-mail como meio de phishing, pois é significativamente mais difícil combater mensagens fraudulentas por texto do que por e-mail.
"Infelizmente, o mundo da segurança para SMS fica atrás do e-mail, pois as principais proteções que temos no e-mail simplesmente não existem com textos", disse Yavor. "Com o SMS, é mais difícil treinar as pessoas para identificar remetentes fraudulentos, e as pessoas não têm os mecanismos de suporte a que estão acostumadas ao usar o e-mail."
Na experiência de Yavor, as pessoas têm mais chances de identificar um endereço de e-mail falso, enquanto é mais difícil com SMS, graças à prevalência de falsificação de números.
SMS é mais perigoso
Yavor apontou para uma pesquisa da Tessian, que descobriu que mais da metade dos entrevistados havia recebido uma mensagem de texto fraudulenta no ano passado. Além disso, um terço deles caiu no golpe, um número maior do que aqueles que interagiram com um e-mail de phishing.
As pessoas geralmente não esperam ser enganadas por meio de seus textos, e é por isso que o SMS se tornou um vetor de ataque realmente eficaz, observou Jeff Hancock, professor de comunicação Harry e Norman Chandler na Universidade de Stanford, na pesquisa de Tessian.
A confiança com o SMS, argumentou ele, decorreu do fato de que até recentemente, muito poucas pessoas fora de nossa rede poderiam nos contatar via SMS. "Como fazemos compras on-line e somos solicitados a compartilhar nosso número de celular, agora recebemos mensagens de texto de contatos que não conhecemos - algumas mensagens são legítimas e outras não", disse Hancock.
Se você recebeu um texto suspeito ou uma solicitação incomum de alguém em quem confia, Yavor sugere que a melhor orientação seja a mesma do e-mail - em vez de se envolver imediatamente, reserve um momento para entrar em contato com o remetente via outro meio de verificar a autenticidade do SMS.
"É imperativo sempre estabelecer confiança fora da conversa por SMS e lembrar que organizações legítimas [como seu banco] nunca dariam um ultimato (como ligar de volta em 12 horas ou mais) ou pediriam detalhes financeiros ou senhas por mensagem de texto”, disse Yavor."Finalmente, as pessoas podem denunciar spam e mensagens de texto fraudulentas para sua operadora, encaminhando as mensagens para 7726."
