04 Mar O que é smishing?
Smishing é uma variante de um ataque de phishing que é realizada através de SMS. Num ataque de smishing, o atacante envia um SMS para o alvo a fazer-se passar por outrem, com o objectivo de tentar obter acesso a informação privada.
O típico SMS de smishing aparenta ter sido enviado por uma entidade legítima, como uma empresa ou uma instituição financeira. O SMS indica que existe um problema com a conta (por exemplo, do site da empresa ou do banco), pedindo ao utilizador para clicar num link para o resolver. Ao clicar no link, o utilizador é levado para um site que aparenta ser o da entidade legítima, mas que na realidade pertence ao atacante. Quando o utilizador insere o seu nome de utilizador e a sua password ou o número de cartão de crédito para resolver o suposto problema, estes dados são enviados directamente para o atacante, sendo que o utilizador não se apercebe de nada. Estes dados serão depois utilizados pelo atacante para aceder à conta do utilizador. Noutros casos, o objectivo de um SMS de smishing é instalar malware no smartphone do utilizador, com o intuito de obter acesso à sua informação privada ou com outros intuitos.
Outro tema comum dos SMSs de smishing é que o utilizador ganhou ou pode ganhar um prémio. Para enviarem SMSs de smishing deste género, atacantes já se fizeram passar por empresas como o Lidl, o Pingo Doce e o Continente.
O smishing, tal como o vishing, tira partido da confiança que os utilizadores depositam na rede telefónica. A maior parte dos utilizadores, em circunstâncias normais, nunca irá ver informação incorrecta sobre a origem de um SMS. Após anos a ver repetidamente informação correta nos seus telefones, os utilizadores têm total confiança nos números que são mostrados nos ecrãs. No entanto, a realidade é que o atacante pode falsificar um número de telefone ou o nome que aparece como remetente do SMS, fazendo com que este aparente ser originário de uma determinada entidade. Repare, por exemplo, no seguinte SMS, em que um atacante se faz passar pelo Continente:
Como pode observar, apesar deste SMS não ter sido enviado pelo Continente, o remetente aparece como “Continente”.
Assim como no phishing e no vishing, sensibilizar os utilizadores para o SMS phishing é a melhor forma de os proteger contra esta ameaça. Neste sentido, seguem-se algumas recomendações:
- Suspeitar de SMSs que não fazem sentido: Pense se o SMS que recebeu pode realmente ter sido enviado pela entidade que aparentemente o enviou. Por exemplo, no caso de um SMS a dizer que existe um problema com a sua conta bancária com um link para resolver o suposto problema, pense: será que se houvesse um problema com a sua conta bancária, o seu banco iria avisá-lo por SMS e enviar-lhe um link para resolver o problema? A resposta é não. Portanto, fica a saber que o SMS não é legítimo. No caso de um SMS a dizer que ganhou um prémio, lembre-se que ninguém dá nada a ninguém. Pense se participou em algum passatempo. Se não participou, fica a saber que este SMS também não é legítimo. No caso de um SMS a dizer que pode ganhar um prémio, pense: será que esta empresa está mesmo a realizar este passatempo? Consulte o site da empresa e as suas páginas nas redes sociais: se não encontrar nenhuma referência ao passatempo, fica a saber que este SMS também não é legítimo.
- Olhar atentamente para os links para verificar se são legítimos: O link pode apontar para um domínio que não é utilizado pela a empresa que supostamente enviou o SMS. Por exemplo, se um SMS que supostamente foi enviado pelo Continente apontar para www.continente-online.pt ou www.continente.eu, ficará a saber que se trata de um SMS de smishing pois o verdadeiro site do continente encontra-se em www.continente.pt. Alguns links podem parecer legítimos à primeira vista, no entanto uma análise mais atenta pode revelar o contrário. Por exemplo, se olhar apenas para a primeira parte do link continente.pt.dominio.com, pode parecer que este aponta para o verdadeiro site do Continente. No entanto, uma análise mais atenta revela que o link aponta para um subdomínio de um domínio que nada tem a ver com o Continente (dominio.com). O link poderá também ser um link de redireccionamento (alojado, por exemplo, num encurtador de URLs como o tinyurl.com ou no bit.ly) e, nesse caso, ao clicar não fará a mínima ideia do site para o qual será levado. Este truque torna-se ainda mais enganador nos smartphones pois a barra de endereços do browser é muito curta e, se o link for suficientemente grande, após o redireccionamento, o utilizador poderá ver apenas a parte do link que parece legítima no seu ecrã. Por exemplo, num SMS de smishing com o link passatempo.continente.pt.dominio.com, o utilizador iria ver apenas passatempo.continente.pt no ecrã, ao invés do link completo (a não ser que carregue na barra de endereços e faça scroll até ver o link na sua totalidade).
- Ter a noção de que o número ou o nome que aparece no seu telefone como remetente de um SMS pode ser facilmente falsificado de forma a que o SMS aparente ser legítimo
- Em caso de dúvida, contacte directamente a entidade que supostamente lhe enviou o SMS (através dos contactos disponíveis no seu site oficial ou num documento que já tenha em sua posse, como um cartão ou uma factura) para confirmar a legitimidade da mensagem